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(57) Abstract 

The invention relates to a method of transaction between 
a customer and a terminal (2) which is connected to a 
telecommunication network, wherein at least one customer 
identification (IDUI), a terminal identification (POSID) and 
transaction specific data (A) are transmitted to a financial server 
(4) connected to a telecommunication network. The terminal 
ID is read in the terminal or detected in the terminal and 
transmitted to the financial server by the above-mentioned 
telecommunication network. The customer is provided with a 
SIM card (10) which can be functionally connected to a mobile 
device. The customer identification which is transmitted to the 
financial server is read in the SIM card memory and transmitted 
to the financial server. 

(57) Zusammenfassung 

Das Transaktionsverfahren zwischen einem Kunden und 
einem mit einem Telekommunikationsnetz verbundenen Ter- 
minal (2) umfasst die tJbermittlung von mindestens einer 
Kunden identifizierung (IDUI), einer Terminal-Identifizierung 
(POSID) und transaktionsspezifische Daten (A) an einen mit 
dem Telekommunikationsnetz verbundenen Finanzserver (4). 
Die Terminal-Identifizierung wird im Terminal gelesen oder er- 
fasst und durch das genannte Telekommunikationsnetz an den 
Finanzserver tibermittelt. Der Kunde ist mit einer SIM-Karte 
(10) ausgenistet, die funktionell mit einem Mobil gerat verbun- 
den werden kann. Die Kundenidentifizierung, die an den Fi- 
nanzserver ubermittelt wird, wird im Speicher der SIM-Karte 
gelesen und uber mindestens eine Luftschnittstelle an den Fi- 
nanzserver ttbermittelt. 
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Transaktionsverfahren mit einem Mobiigerat 

Die vorliegende Erfindung betrifft ein Verfahren und ein System zur 
Ubermittiung von Auftragen in einem Telekommunikationsnetz. Die Erfindung 
betrifft insbesondere, aber nicht ausschliesslich, die Ubermittiung von Auftra- 
5 gen in einem Mobilfunknetz. 

Gemass dem bisherigen Stand der Technik werden Transaktionen 
zwischen einem Kunden (oder Client, C) und einem Terminal, hier Point-of- 
Transaktion (POT) genannt, zum Beispiel einem Point-of-Sale (POS), oft mit 
einer elektronischen Zahlungskarte ausgefuhrt. Debit- und Kreditkarten werden 

10 zum Beispiel an Kassen in Geschaften, bei Tankstellen, usw. verwendet Die 
Karte umfasst meistens Speichermittel, zum Beispiel einen Magnetstreifen 
und/oder ein Chip, in welchem unter anderem die Identifizierung des Kunden 
gespeichert ist. Urn eine Transaktion mit dem Besitzer oder Betreiber eines 
POT zu tatigen, zum Beispiel um einen Artikel in einem Geschaft zu bezahlen, 

15 muss der Kunde seine Karte in einen geeigneten Kartenleser im POT-Gerat 
einschieben. Der POT liest dann die Identifizierung des Kunden in der Karte, 
ermittelt und zeigt den zu bezahlenden Betrag an, pruft gegebenenfalls die 
Solvenz des Kunden und fordert vom Kunden, dass er die Transaktion mit ei- 
ner Bestatigungstaste auf dem POT-Gerat bestatigt. Wenn der Kunde solvent 

20 ist und seine Bestatigung eingegeben hat, werden die Kundenidentifizierung, 
der zu bezahlende Betrag und evtl. auch eine POT- Identifizierung an einen 
durch ein Telekommunikationsnetz mit dem POT verbundenen Finanzserver 
ubermittelt, der von einem Finanzinstitut verwaltet wird. Entsprechend wird 
sofort oder spater das Konto des Kunden bei diesem Finanzinstitut belastet. 

25 Nachteilig in diesem Verfahren ist die Notwendigkeit, die Karte des 

Kunden in ein fremdes Gerat einschieben zu mussen. Die Kunden haben nor- 
malerweise ihre Karte nicht zur Hand, dafur zum Beispiel im Portemonnaie; 
eine sehr schnelle Transaktion ist also nicht moglich. Gelegentlich ist auch die 
Offnung zum Einfuhren der Karte in das Lesegerat des POT nicht leicht zu- 

30 ganglich; dies ist besonders dann der Fall, wenn der POT ein Ticketautomat fur 
Parkhauser oder ein Zahlungsautomat ist, der vom Automobilisten ohne Aus- 
steigen aus dem Wagen bedient werden soil. Ausserdem konnen betrugerische 
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Handlungen Oder nicht berechtigte Lesungen von Speicherbereichen der Karte 
im POT durchgefuhrt werden. 

Sogar wenn heutzutage gewisse Chipkarten einen Mikroprozessor 
enthalten, sind diese Debit- und Kreditkarten im Wesentlichen passive Ele- 

5 mente, die Daten speichern, die im Wesentlichen von der Elektronik des POT 
gespeichert und benutzt werden. Der Kunde dagegen hat normalerweise keine 
Moglichkeit, direkt auf die Daten Zugriff zu nehmen, ohne sich an einen Schal- 
ter oder an einen Automaten des betreffenden Finanzinstituts, das die Karte 
herausgibt, zu begeben. Fur den Kunden ist es also schwierig, die mit der 

10 Karte durchgefuhrten Transaktionen zu kontrollieren oder daruber Buch zu fuh- 
ren. 

Diese Karten enthalten eine Kundenidentifizierung, die es indes nur 
erlaubt, die Kunden beim herausgebenden Finanzinstitut identifizieren zu las- 
sen. Eine Karte kann also normalerweise nur fur eine finanzielle Transaktion 

15 benutzt werden, wenn der Kunde und der POT-Betreiber beim gleichen 
Finanzinstitut affiliert sind. Dagegen ist der Gebrauch der Karte fur andere 
Arten von Transaktionen - zum Beispiel fur nicht finanzielle Transaktionen, fur 
die aberdie zuverlassige Identifizierung des Kunden/Kartenbesitzers benotigt 
wird - nicht vorgesehen. Fur den Kunden ist es also unumganglich, eine grosse 

20 Anzahl von Karten, fur jegliche Arten von finanziellen oder nicht finanziellen 
Transaktionen zu besitzen, zum Beispiel mehrere Debit- oder Kreditkarten, die 
von verschiedenen Finanzinstituten oder Ladenketten verwaltet werden, oder 
Abonnementskarten oder Zugangskarten fur geschutzte Zonen. Diese Karten 
sind meistens durch verschiedene Pin-Codes geschutzt, die sich der Kunde 

25 muhsam einprSgen muss. 

Im Falle eines Diebstahles oder einer betrugerischen Handlung mit 
der Karte, muss diese gesperrt werden. Die Sperrung kann jedoch erst erfol- 
gen, wenn die Karte in ein entsprechendes Gerat eingefuhrt wird. Die gewohn- 
lichen Kreditkarten konnen jedoch weiterhin in manuell bedienten Apparaten 
30 gebraucht werden; eine sichere Sperrung der Karte ist also nicht moglich. 
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Ausser Debit- und Kreditkarten kennt man die sogenannten e-cash- 
Karten, welche es ermoglichen, Geldbetrage elektronisch zu speichern, welche 
anschliessend an verschiedenen POT-Stellen als Zahlungsmittel akzeptiert 
werden. Urn diese Karten erneut mit Geldbetragen versehen zu lassen, muss 
5 der Kunde am Schalter Oder Automaten eines Finanzinstitutes vorstelfig wer- 
den, was auch nicht immer moglich ist. 

Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren oder 
System vorzuschlagen, das erlaubt, diese Probleme zu vermeiden. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, ein Trans- 
it) aktionsverfahren vorzuschlagen, das sowohl fur finanzielle als auch fur nicht 
finanzielle Transaktionen geeignet ist, und das einfacher und zuverlassiger ist, 
als die gewohnlichen Transaktionsverfahren. 

Gemass der vorliegenden Erfindung werden diese Ziele insbeson- 
dere durch die Elemente des kennzeichnenden Teils der unabhangigen An- 
15 spruche erreicht. Weitere vorteilhafte Ausfuhrungsformen gehen ausserdem 
aus den abhangigen Anspruchen und der Beschreibung hervor. 

Insbesondere werden diese Ziele durch ein Transaktionsverfahren 
zwischen einem Kunden und einem mit einem Telekommunikationsnetz ver- 
bundenen POT-Gerat (zum Beispiel ein Point-of-Sale, POS) erreicht, wobei 

20 das Verfahren die Ubermittlung von mindestens einer Kundenidentifizierung, 
einer POT-ldentifizierung und transaktionspezifischen Daten an einen mit dem 
Telekommunikationsnetz verbundenen Server umfasst, wobei der Kunde mit 
einem Identifizierungselement ausgerustet ist, das funktionell mit einem Mobil- 
gerat kooperieren kann, zum Beispiel mit einer SIM-Karte in einem Mobilgerat, 

25 wobei eine Kundenidentifizierung im Mobilsystem im Speicher des Identifizie- 
rungselements gespeichert ist, wobei die POT-ldentifizierung im Gerat gelesen 
oder erfasst wird und durch das Telekommunikationsnetz an den Server uber- 
mittelt und wobei die Kundenidentifizierung uber mindestens eine Luftschnitt- 
stelle an den Server ubermittelt wird. 
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Die Kundenidentifizierung wird vorzugsweise mit der im POT-Gerat 
geiesenen oder erfassten POT-Geratidentifizierung und mit transaktionspezi- 
fischen Daten in einem elektronischen Transaktionsbeleg verknupft, der durch 
des genannte Telekommunikationsnetz und uber eine Clearingeinheit an den 
5 Server ubermittelt wird. 

Der Server kann vorzugsweise uber eine Luftschnittstelle, zum Bei- 
spiel durch ein Mobilfunknetz, mit dem Mobilsystem (zum Beispiel ein Mobilge- 
rat mit einer identrfizierungskarte) kommunizieren. Wenn die Transaktion eine 
finanzielle Transaktion ist, kann dadurch ein im Mobilgerat gespeicherter Geld- 
10 betrag aus dem Server mit uber die Luftschnittstelle ubermittelten elektroni- 
schen Meldungen nachgeladen werden. Der Geldbetrag wird vorzugsweise in 
einer Standardwahrung definiert. 

Die kontaktlose Ubertragung zwischen dem Mobilsystem und dem 
POT-Gerat kann beispielsweise durch eine in der Identifizierungskarte oder im 
15 Mobilgerat integrierte elektromagnetische Schnittstelle, zum Beispiel in Form 
einer induktiven Spule, oder durch ein infrarotes Sender-Empfanger-System 
erfolgen. 

Die Transaktionsbelege werden vorzugsweise mit einem symmetri- 
schen Algorithmus verschlusselt, bevor sie an den Server weitergeleitet wer- 

20 den, wobei der symmetrische Algorithmus einen mit einem asymmetrischen 
Algorithmus verschlusselten Session-Schlussel benutzt. Die Transaktionsbe- 
lege werden vorzugsweise ausserdem zusatzlich zertifiziert, bevor sie an den 
Finanzserver weitergeleitet werden. Vorzugsweise wird eine end-to-end-gesi- 
cherte Ubertragungsstrecke zwischen dem Mobilsystem und dem Finanzserver 

25 gewahrleistet 

Die vorliegende Erfindung wird mit Hilfe der als Beispiel gegebenen 
Beschreibung besser verstandlich und durch die beiliegenden Figuren veran- 
schaulicht : 

Die Figur 1 zeigt ein Blockschema, das den Informationsfluss in ei- 
30 ner ersten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
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mit einem Mobilfunktelefon ausgerustet ist, vorzugsweise ein GSM-Mobilgerat, 
das spezielle Kurzmeldungen empfangen und senden kann. 

Die Figur 2 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner zweiten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
5 Kunde mit einem Mobilfunktelefon ausgerustet ist, vorzugsweise ein GSM- 
Mobilgerat, das spezielle Kurzmeldungen empfangen und senden kann, und 
wobei das POT-Gerat ein Internet- oder Intranet-taugliches Gerat ist. 

Die Figur 3 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner dritten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
10 mit einem Transponder ausgerustet ist, der mindestens spezielle Kurzmeldun- 
gen bearbeiten kann, und wobei das POT-Gerat spezielle Kurzmeldungen, zum 
Beispiel SMS- Oder USSD-Kurzmeldungen, empfangen und/oder senden kann. 

Die Figur 4 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner vierten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
15 Kunde mit einem Transponder ausgerustet ist, der mindestens einen Teil der 
SICAP-Prozeduren ausfuhren kann, und wobei das POT-Gerat ein Internet- 
oder Intranet-taugliches Gerat ist, das spezielle Kurzmeldungen, zum Beispiel 
SMS- oder USSD-Kurzmeldungen, empfangen und/oder senden kann. 

Die Figur 5 zeigt ein Flussdiagramm eines Zahlungstransaktions- 
20 verfahrens gemass der Erfindung. 

Die Figur 6 zeigt ein Flussdiagramm eines Nachladetransaktions- 
verfahrens einer SIM-Karte, gemass der Erfindung. 

Die Figur 7 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner funften Ausfuhrungsform des Systems der Erfindung zeigt. 

25 Die Figur 8 zeigt ein Blockschema, das den Informationsfluss in ei- 

ner sechsten Ausfuhrungsform des Systems der Erfindung zeigt. 



WO 98/37524 PCT/CH98/00086 

6 

Die Figur 9 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner siebten Ausfuhrungsform des Systems der Erfindung zeigt. 

Die Figur 10 zeigt ein Blockschema, das die Signierung von Mel- 
dungen erklart. 

5 Die Figur 1 '1 zeigt ein Blockschema, das die Uberprufung der 

Signatur erklart. 

Die Figur 12 zeigt ein Blockschema, das die Signierung und die 
Uberprufung der Signatur erklart. 

Die Figur 13 zeigt ein Blockschema, das die Verschlusselung der 
10 Meldungen erklart. 

Das auf den Figuren 5 und 6 dargestellte Verfahren kann mit jedem 
beliebigen System, das auf den Figuren 1 bis 4 dargestellt ist, ausgefuhrt wer- 
den. Die erste und die zweite Variante benotigen beide ein Mobilgerat oder 
eine SIM-Karte mit einer zusatzlichen infraroten oder induktiven Schnittstelle, 
15 die spater naher beschrieben wird. 

Die Figur 1 zeigt den Informationsfluss in einer ersten Ausfuhrungs- 
form der Erfindung. Der Kunde ist mit einem Mobilsystem ausgerustet, in die- 
sem Fall mit einem GSM-Mobilgerat 1. Das Mobilgerat 1 enthalt eine Identifi- 
zierungskarte 10, zum Beispiel eine SIM-Karte, mit der der Kunde im Netz 6, 

20 vorzugsweise ein GSM-Netz, identifiziert wird. Die SIM-Karte weist einen kon- 
ventionellen Mikrokontroller 100 auf, welcher in den Kunststofftrager der Karte 
eingelassen ist und fur die GSM-Funktionalitaten der Karte zustandig ist - wie 
sie zum Beispiel im Artikel « SIM CARDS » von T. Grigorova und I. Leung be- 
schrieben werden, welcher im « Telecommunication Journal of Australia », Vol 

25 43, No. 2, 1993, auf den Seiten 33 bis 38 erschienen ist - und fur neue Funk- 
tionalitaten, welche zu einem spateren Zeitpunkt auf die SIM-Karten geladen 
werden. Die SIM-Karte weist ausserdem nicht dargestellte Kontaktmittel auf, 
uber welche die Karte mit dem Mobilgerat 1 kommuniziert, in welchem sie ein- 
geftihrt ist. 
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Die SIM-Karte weist ausserdem einen zweiten Prozessor 101 (CCI, 
Contactfree Chipcard Interface) auf, welcher fur die kontaktlose Verbindung mit 
dem POT-Gerat 2 zustandig ist. Der zweite Prozessor fuhrt unter anderem die 
weiter unten beschriebenen TTP (Thrusted Third Party)-Funktionen aus, um 
5 chiffrierte und signierte Meldungen zu empfangen und zu senden. Eine logi- 
sche Schnittstelle 102 verbindet die beiden Prozessoren 101 und 102. 

Die kontaktlose Schnittstelle mit dem POT-Gerat 2 kann beispiels- 
weise mindestens eine in der SIM-Karte integrierte und mit dem zweiten Pro- 
zessor 101 verbundene Spule aufweisen (nicht dargestellt), mit der Daten in 

10 beiden Richtungen uber eine Funkstrecke induktiv ubertragen werden. Eine 
induktive Spule kann in einer Variante auch im Gehause des Mobilgerats inte- 
griert werden. In einer dritten Variante umfasst die kontaktlose Schnittstelle 
einen infraroten Sender-Empfanger an die Gehause des Mobilgerats. Die kon- 
taktlose Kommunikation zwischen den beiden Geraten wird vorzugsweise ver- 

15 schlusselt, zum Beispiel mit einem DEA-, DES-, TDES- RSA- Oder ECC- 
Sicherheitsalgorithmus. 

Bei einer induktiven Signalubermittlung vom POT zur Chipkarte wird 
vorzugsweise ein Phasenmodulations-Verfahren eingesetzt, wahrend in der 
umgekehrten Richtung vorzugsweise die Amplitude der Signale moduliert wird. 

20 Die SIM-Karte enthalt vorzugsweise ein Sonderfeld IDUI 

(International Debit User Identification), mit dem der Kunde vom POT-Betreiber 
und/oder von einem Finanzinstitut identifiziert wird. Die Identifizierung IDUI 
wird vorzugsweise in einem gesicherten Speicherbereich eines der beiden 
Prozessoren 101, 102 gespeichert. Die IDUI enthalt mindestens eine Identifi- 

25 zierung vom Netzbetreiber, eine Benutzernummer, die ihn von anderen Kunden 
beim selben Netzbetreiber identifiziert, eine Benutzerklassenangabe, die defi- 
niert, welche Dienste er benutzen darf, und optional noch eine Landidentifizie- 
rung. Ausserdem enthalt die IDUI Sicherheitsdaten, unter anderem einen 
Transaktionszahler Tz, ein Lade-Token LT Cl und ein Time-Out-Feld TO, das 

30 die Validierungszeit angibt. Die Funktion von diesen verschiedenen Daten wird 
spater erlautert. 
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Das symbolisch dargestellte POT-Gerat 2 ist ebenfalls mit einem 
kontaktlosen Sender-Empfanger 20 versehen, zum Beispiel mit einer indukti- 
ven Spule Oder mit einem infraroten Sender-Empfanger. Dank dieser Schnitt- 
stelle kann das Mobilsystem 1,10 kontaktlos mit dem Gerat 2 in beiden Rich- 
5 tungen kommunizieren. 

Das Terminal Oder POT-Gerat 2 kann zum Beispiel ein speziell mit 
einer Funkschnittstelle 20 ausgerusteter Point-of-Sale (POS) in einem Ge- 
schaft sein. Das POT-Gerat 2 kann aber auch fur nicht finanzielle Anwendun- 
gen bestimmt sein, zum Beispiel als Schlussel fur eine Zutrittskontrolle-Vor- 

10 richtung (« elektronischer Pfortner »), die das Kommen und Gehen in einer ge- 
schutzten Ortlichkeit erlaubt, zum Beispiel in einem Hotelzimmer, in einem Be- 
trieb, im Theater, in Kinos oder innerhalb eines Attraktionsparkes. Das POT- 
Gerat wird mit einem Sonderfeld POS ID (Point Of Sale Identification) identifi- 
ziert. Die POSID hangt von der Anwendung ab ; im Falle einer Geschaftskasse 

1 5 enthalt sie eine Identifizierung vom Netzbetreiber, eine Areaidentif izierung 
(Teilgebiet in einem Land), eine POS-Nummer, die ihn von anderen POS beim 
selben Netzbetreiber identifiziert, eine POS-Klassenangabe, die definiert, wel- 
che Dienste er benutzen oder anbieten darf, das Datum, die Zeit, die benutzte 
Wahrung (SDR, Euro oder Dollars) und optional noch eine Landesidentifizie- 

20 rung. 

Das POT-Gerat 2 wird vorzugsweise mit nicht dargestellten Daten- 
eingabe-Mitteln versehen, zum Beispiel mit einer Tastatur, und mit nicht darge- 
c+oijtorj Datensnzeige-Mitteln, zum Beispiel mit einem Bildsc-hirm. 

Die IDUI-ldentif izierung wird dem POT uber die kontaktlose Schnitt- 
25 stelle 10/101 ubertragen, und im POT-Gerat mit der POSID und mit zusatzli- 
chen transaktionspezifischen Daten, zum Beispiel mit dem erfassten Debitbe- 
trag A, verknupft, so dass ein elektronischer Transaktionsbeleg entsteht, der 
mit einem TTP (Trusted Third Party)- oder PTP (Point-to-Point)-Prozess ver- 
schlusselt und signiert wird. Zusatzliche Erklarungen uber das TTP-Verfahren 
30 werden spater als Anhang angegeben. 

Der Transaktionsbeleg wird dann uber ein nicht dargestelltes 
Modem und durch das Kommunikationsnetz 5, zum Beispiel durch ein offentli- 
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ches Fix-Netz 5 oder durch ein Mobilfunknetz an die ebenfalls mit dem Netz 
verbundene Clearingeinheit 3 ubermittelt. Diese empfangt die elektronischen 
Belege von verschiedenen POT-Geraten 2, unabhangig vom Land oder Ver- 
kehrsbereich, und unabhangig vom Land oder Finanzinstitut des Kunden. In 
5 der Clearingeinheit 3 werden diese Transaktionsbelege nach Finanzinstitut, 
eventuell auch nach Operator, geordnet und den entsprechenden Finanzinsti- 
tuten zugestellt Clearingeinheiten an sich sind in der GSM-Technik schon be- 
kannt und werden beispielsweise fur das Sammeln und fur die Weiterverteilung 
von Verbindungskosten verwendet. Die Clearingeinheit kann beispielsweise 
10 eine Datenbank enthalten, die angibt, mit welchem Finanzinstitut der vorher mit 
seinem IDUI identifizierte Kunden affiliert ist. 

Die durch die Clearingeinheit 3 behandelten elektronischen Trans- 
aktionsbelege werden an den Finanzserver 4, 4' oder 4" des entsprechenden 
Finanzinstituts weitergeleitet. Im Finanzserver werden die eingereichten 

15 Transaktionsbelege zuerst entschlusselt und in einem Zwischenspeicher 43 
gespeichert. Ein Abgleichmanagement-Modul 42 schreibt dann den vom Kun- 
den signierten Betrag den entsprechenden Bankkonten 420, 420' und/oder 
420" des POT-Betreibers gut. Diese Konten konnen durch dasselbe oder durch 
ein anderes Finanzinstitut verwaltet werden. Das Abgleichmanagement-Modul 

20 fuhrt ausserdem Kontrollbuchungen zum Konto des Kunden durch. Entspre- 
chend wird das Konto 41 des Kunden beim Finanzinstitut belastet, oder werden 
die Transaktionsdaten fur eine spatere Kontrolle gespeichert. Der Finanzserver 
enthalt ausserdem einen TTP-Server 40, urn Belege und Meldungen mit dem 
TTP (Thrusted Third Party)-Algorithmus zu chiffrieren und zu signieren. 

25 Ausserdem ist jeder Finanzserver 4 mit einem SIM-Server 70 verbunden, zum 
Beispiel mit einem SICAP-Server. Das SICAP-Verfahren wurde unter anderem 
im Patent EP689368 beschrieben, und erlaubt, Dateien, Programme und auch 
Geldbetrage zwischen dem SICAP-Server 70 und der SIM-Karte 10 im Mobil- 
gerat 1 uber das offentliche GSM-Netz 6 auszutauschen (Pfeil 60). Andere 

30 Obertragungsprotokolle konnen auch fur die Datenubertragung zwischen dem 
SIM-Server und den SIM-Karten angewendet werden. Dadurch kann beispiels- 
weise Geld auf der SIM-Karte 10 nachgeladen werflen, wie spater naher be- 
schrieben. Der SIM-Server 70 ermoglicht ausserdem die gesteuerte Kommuni- 
kation zwischen dem Kunden und dem TTP-Server 40 beim Finanzinstitut. 
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Die Figur 2 zeigt den Informationsfluss in einer zweiten Ausfuh- 
rungsform der Erfindung. Der Kunde ist ebenfalls in dieser Variante mit einem 
Mobilsystem ausgerustet, zum Beispiel mit einem GSM-Funktelefon 1 mit einer 
SIM-Karte, vorzugsweise mit einer SICAP-tauglichen SIM-Karte. Ebenfalls ist 
5 eine induktive oder infrarote Schnittstelle im Mobilsystem 1 enthalten, mit der 
eine kontaktlose Verbindung mit dem POT-Gerat 2 durchgefuhrt werden kann. 
Daten und/oder Programme konnen auf diese Weise in beiden Richtungen 
zwischen dem POT-Gerat 2 und der SIM-Karte 10 im Mobilsystem ausge- 
tauscht werden. 

10 Das POT-Gerat 2' ist aber in diesem Fall ein Rechner, der vorzugs- 

weise mit einem Netz, zum Beispiel im Internet oder einem Intranet, verbunden 
ist. Verschiedene Informationen oder Angebote, zum Beispiel Produkt-Ange- 
bote, konnen beispielsweise mit einem geeigneten Menu auf dem Bildschirm 
des Rechners 2 offeriert werden. Der Kunde kann diesen Rechner mit seinem 

15 Mobilgerat steuern. Beispielsweise kann er die Position eines Cursors in einem 
Menu von zum Verkauf angebotenen Produkten oder Informationen durch Be- 
tatigen der Cursor-Verschiebetasten auf der Tastatur 1 1 seines Mobiltelefons 
steuern. Die Cursor-Verschiebeinstruktionen werden uber die kontaktlose 
Schnittstelle 101 , 20 zum Rechner 2' gesendet. Der Benutzer betatigt eine 

20 Bestatigungstaste, zum Beispiel die Taste # auf seiner Tastatur, urn die aus- 
gewahlte Menuoption zu bestatigen, zum Beispiel urn ein Produkt zu bestellen. 

Die im Mobilsystem 1,10 gespeicherte Kundenidentifizierung wird mit 

Hor POX_f^Qrs»t-.IHontifi-7iori inn i inH mit Hon Hor anno\A/ahlfon Monnnntion ont- 

^^r. - W « — — • .5, ~. . Ml . gV .. M ...i W — ■ 1 " 

sprechenden transaktionsspezifischen Daten in einem elektronischen Trans- 
25 aktionsbeleg verknupft, TTP-oder PTP-verschlusselt und signiert. Der Trans- 
aktionsbeleg enthalt vorzugsweise eine aus der SIM-Karte 10 gewonnene 
Kundenidentifizierung IDUI, eine der angewahlten Menuoption entsprechende 
Lieferantenidentifizierung, und eine der angewahlten Menuoption entspre- 
chende Produktidentifizierung, vorzugsweise im Flexmart-Format wie in der 
30 Patentanmeldung PCT/CH96/00464 vorgeschlagen. Dieser Beleg wird durch 
ein Flexmart-Modul 21 ermittelt. Das Flexmart-Modul ist vorzugsweise eine vom 
Rechner 2' ausgefuhrte Software- Anwendung. 
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Analog zur ersten Ausfuhrungsform wird dann der elektronische 
Transaktionsbeleg an den entsprechenden Finanzserver 4, 4' Oder 4" durch die 
Clearingeinheit 3 ubermittelt und dort verarbeitet. 

Die Figur 3 zeigt den Informationsfluss in einer dritten Ausfuhrungs- 
5 form der Erfindung. Der Kunde ist in dieser Variante nicht mit einem kompletten 
Mobilgerat ausgerustet, sondern nur mit einem Transponder 10', der zum Bei- 
spiel in einer Chipkarte oder in irgendeinem Gerat, wie beispielsweise einer 
Uhr, einem Schlusselring oder einem Fingerring, integriert werden kann. Der 
Transponder konnte auch in einer Fernsteuerung, zum Beispiel in einer infra- 

10 roten Fernsteuerung, integriert sein und durch diese Fernsteuerung mit dem 
POT-Gerat 2 kommunizieren. Der Transponder 10' enthalt einen ersten Pro- 
zessor 100\ mit dem spezielle Kurzmeldungen, zum Beispiel SMS- oder 
USSD-Kurzmeldungen, gesendet, empfangen und verschlusselt werden kon- 
nen. In einer bevorzugten Variante enthalt der erste Prozessor 100' SICAP 

15 und/oder TTP-Module, mit dem Dateien und Programme durch SMS- oder 
USSD-Kurzmeldungen mit einem Server 7 ausgetauscht werden konnen. Der 
erste Prozessor 100' enthalt aber keine Mobilfunk-Funktionen und der Trans- 
ponder kann daher nicht als SIM-Karte in einem Mobilfunkgerat angewendet 
werden. 

20 Ein zweiter Chip 101 (CCI, Contactfree Chipcard Interface) ist mit 

dem Chip 100' durch eine Schnittstelle 102 verbunden und ist fur die kontakt- 
lose Verbindung mit dem Gerat 2 zustandig. Es ist naturlich auch moglich, ei- 
nen einzigen Chip zu benutzen, der beide Teilfunktionen erfullt. Die kontakt- 
lose Verbindung erfolgt in diesem Fall vorzugsweise mit mindestens einer 

25 induktiven Spule im Transponder 10\ 

Das POT-Gerat 2" umfasst in diesem Fall einen Sender-Empfanger 
20 f um kontaktlos mit dem Transponder 10* zu kommunizieren, Datenverarbei- 
tungsmittel 23 mit einer Tastatur 1 1 und einem Mobilfunkgerat 24, vorzugs- 
weise ein reduziertes GSM-Gerat, das nur spezielle Kurzmeldungen, wie zum 
30 Beispiel SMS- oder USSD-Kurzmeldungen, empfangen und senden kann. Die 
Tastatur dient als Eingabemittel fur den Kunden, . ; s 



WO 98/37524 



12 



PCT/CH98/00086 



Das im POT-Gerat integrierte und auf die Ubertragung von Kurzmel- 
dungen reduzierte GSM-Gerat 24 ermoglicht die Obermittlung von Meldungen 
durch das Mobilfunknetz 6 zwischen dem Transponder 10' und einer ersten 
Anwendung im SIM-Server 7, und dadurch den verschlusselten Nachlade- bzw. 
5 Checkup-Prozess (Pfeil 60) und den Belegetransfer (Pfeil 61) vom Kunden zu 
einer SIM-Server-Anwendung 71 im SIM-Server 7, beispielsweise in einem 
SICAP-Server. In einer Variante konnen der verschlusselte Nachlade- bzw. 
Checkup-Prozess und der Belegtransfer auch uber ein Modem oder einen 
ISDN-Anschluss 22 und ein Fixnetz 5 erfolgen. 

10 Die Meldungen und Belege werden dann uber die kontaktlose 

Schnittstelle 101/20 und uber die Mobilfunkstrecke 60, 61 durch das Mobil- 
funknetz 6 ubertragen. 

Die Figur 4 zeigt den Informationsfluss in einer vierten Ausfuh- 
rungsform der Erfindung. Der Kunde ist, wie in der dritten Variante, nicht mit 

15 einem kompletten Mobilgerat ausgerustet, sondern nur mit einem Transponder 
10\ Das POT-Gerat 2 iU ist, wie bei der zweiten Ausfuhrungsform, mit Daten- 
verarbeitungsmitteln 2' verbunden, die uber ein Flexmart-Modu! 21 verfugen. 
Der Kunde kommuniziert mit dem SIM-Server 7 durch ein eingeschranktes 
Mobilfunkgerat 24, zum Beispiel ein auf die Ubertragung von speziellen SMS- 

20 Oder USSD-Kurzmeldungen reduziertes GSM-Gerat 24 im Gerat 2"\ Die ande- 
ren Funktionen sind analog wie in der dritten Ausfuhrungsform. 

Mit dem Fiexmartmodui 21 konnen Auftragsmeldungen in einem 
standardisierten Format fur einen Produkt- oder Informations-Lieferanten vor- 
bereitet werden, wie in der Patentanmeldung PCT/CH96/00464 beschrieben. 

25 Ein Zahlungstransaktionsverfahren wird jetzt mit Hilfe der Figur 5 

naher beschrieben. Dieses Verfahren kann auf beliebige Ausfuhrungsformen 
der Erfindung gemass den Figuren 1 bis 4 angesetzt werden. Dieser Ablauf ist 
jedoch allgemein gultig und nicht auf GSM-Prozesse beschrankt. 

Die erste Kolonne in Figur 5 zeigt die Verfahrensschritte, die haupt- 
30 sachlich das Mobilsystem 1 des Kunden involvieren ; die zweite beschreibt die 
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Verfahrensschritte, die vom POT-Gerat 2 ausgefuhrt werden ; die dritte betrifft 
die Operationen vom Finanzserver 4 und die vierte die Effekte auf die ver- 
schiedenen Konten beim Finanzinstitut. Es muss aber bemerkt werden, dass 
viele Verfahrensschritte entweder mit dem Mobilsystem 1 , zum Beispiel als 
5 Prozess innerhalb der SIM-Karte 10, Oder im POT-Gerat 2 ausgefuhrt werden 
konnen. Zum Beispiel kann die Dateneingabe entweder mit dem POT Oder mit 
dem Mobilsystem 1 erfolgen, wenn dieses eine Tastatur enthalt, wie zum Bei- 
spiel ein GSM-Mobilgerat. 

Dieses Verfahren setzt im Schritt 200 voraus, dass die Identifizie- 
10 rungskarte 10 des Kunden, hier eine Wertkarte, mit einem Geldbetrag (e-cash) 
geladen ist. Wertkarten sind an sich schon bekannt ; wir werden spater in 
Bezug auf Figur 6 naher erlautern, wie der Geldbetrag nachgeladen werden 
kann. Ausserdem beschreibt die Patentanmeldung EP9681 0570.0 ein Verfah- 
ren, urn SIM-Karten mit einem Geldbetrag nachzuladen. 

15 Das Mobilsystem 1 bzw. 10 wird im Schritt 201 funktionsbereit ge- 

schaltet, zum Beispiel mit dem Einschalten des Mobilgerates. Ebenso wird im 
Schritt 202 das POT-Gerat 2 aktiviert. Das POT-Gerat 2 ruft dann im Schritt 
203 in einem Broadcastverfahren den nachsten, unbestimmten Kunden auf 
(Kartenpaging). 

20 Wenn die Verbindung zwischen dem POT-Gerat und dem Mobil- 

system 1,10 hergestellt worden ist, ubergibt im Schritt 204 das Mobilsystem 
dem POT-Gerat seine Identifizierung IDUI (International Debit User 
Identification) und die Bestatigung, dass er solvent ist. Ob die Solvenz aus- 
reicht, kann in diesem Moment noch nicht entschieden werden. 

25 Das POT-Gerat 2 enthalt eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu sperrende Kunden. Die vom Kun- 
den ubermittelte IDUI wird mit der Schwarzliste verglichen (Schritt 205). Wenn 
die vom Kunden ubergebene IDUI in der Schwarzliste gefunden wird (Schritt 
206), wird ein Blockierflag im Schritt 207 gesetzt. A/Venn keine Obereinstim- 

30 mung gefunden wird, konnen auf der Tastatur 1 1 des POT-Gerats 2 die trans- 
aktionspezifischen Daten, zum Beispiel ein zu bezahlender Debit-Betrag A, 
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eingegeben werden. In einer Variante kann der Betrag A auch auf der Tastatur 
des Mobilgerats 1 eingegeben werden. Das POT-Gerat 2, oder in einer Vari- 
ante die SIM-Karte 10, verknupft dann diese transaktionspezifischen Daten mit 
der Identifizierung des POT-Gerats 2 und der IDUI, und sendet diese Bela- 
5 stungsaufforderung dem Kunden. Vorzugsweise wird ausserdem noch eine 
Referenzwahrung, wie zum Beispiel SDR, Euro oder Dollar eingeschlossen. 

Da die Kommunikation signiert wird, kann im Schritt 210 gepruft 
werden, ob die Belastungsaufforderung mit der IDUI korreliert. Wenn nicht, 
wird der Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 223). Sonst 
wird im Schritt 21 1 ein Blockierflag gepruft. 1st es gesetzt, erfolgt ein Check-up 
mit dem Finanzserver 4 (Schritt 248). 1st er nicht gesetzt, erfolgt ein Area- 
Check-up (Schritt 21 3). Es konnen dadurch SIM-Karten je nach Benutzungs- 
Area gesperrt werden. Wenn der Area Check-up negativ ist, erfolgt ein Check- 
up mit dem Finanzserver 4 (Schritt 248) ; sonst wird ein Time-Out Check-up 
gemacht (Schritt 215). Es wird gepruft, ob die Validationszeit, wahrend der 
Transaktionen ohne Checkup durchgefuhrt werden konnen, schon abgelaufen 
ist. Ist die Validationszeit abgelaufen (216), erfolgt ein Check-up mit dem 
Finanzserver (Schritt 248) ; sonst wird der Kunde im Schritt 217 aufgefordert, 
sein Benutzerpasswort am Mobilgerat 1 manuell einzugeben. Ist das eingege- 
bene Passwort korrekt (Schritt 218), wird der Betrag A gegebenenfalls in die 
Einheitswahrung (zum Beispiel SDR) umgerechnet (Schritt 21 9). Damit wird ein 
internationaler Einsatz des Konzepts ermoglicht. Sonst wird im Schritt 223 auf 
dem POT-Gerat 2 die Ruckweisung mit Grundangabe angezeigt. 

Das Mobilsystem 1/10 pruft dann im Schritt 220, ob der zu bela- 
25 stende Betrag A mit dem auf der Karte geladenen Geldbetrag gedeckt ist 
(Solvenzprufung). Wenn dies nicht der Fall ist, wird am Bildschirm des POT- 
Gerats dieser Ruckweisungsgrund angezeigt (Schritt 223). 

Wenn alle diese Prufungen erfolgt sind, wird im Schritt 222 die 
Transaktion mit einem Transaktionszahler Tz gezahlt, der inkrementiert wird. 
30 Dieser Zahler entspricht der Anzahl der mit der Karte 1 0 abgelaufenen Trans- 
aktionen. Im Schritt 224 werden dann der Debit-Betrag A, die POT-Gerat-lden- 
tifizierung POSID und die Benutzeridentifizierung IDUI in einem Transaktions- 



15 



WO 98/37524 



15 



PCT/CH98/00086 



beleg verknupft, welcher zusatzlich zertifiziert und optional verschlusselt und 
eventuell noch komprimiert wird. Das ECC-Verfahren (Elliptic Curve 
Cryptosystem) kann beispielsweise fur die Zertifizierung angewendet werden. 
Ein geeignetes Zertifizierungs- und Verschlusselungsverfahren wird spater als 
5 Beispiel naher erlautert 

Der belastete Betrag A wird dann im Schritt 225 auf dem Karten- 
konto abgebucht, und der Transaktionsbeleg wird im Schritt 226 in einem Stack 
auf dem Identifizierungselement 10 abgelegt. Dieser Kartenstack beim Kunden 
kann nach Bedarf zwecks detaillierter Kontrolle vom Finanzserver abgerufen 
10 werden. Vorzugsweise kann der Kunde selber die im Stack gespeicherten 
Transaktionsbelege auf seinem Mobiigerat anzeigen. 



Nach dem Schritt 224 wird der Transaktionsbeleg dem POT-Gerat 2 
zur Abrechnung ubergeben, und die Signatur wird vom POT-Gerat gepruft 
(Schritt 227). Optional wird im Schritt 228 ein Papierbeleg am POT fur den 
15 Kunden ausgedruckt. 



Im Schritt 229 wird dann im POT-Gerat 2 der Belastungsbeleg mit 
eventuell zusatzlichen POS-Daten verknupft, und der Transaktionsbeleg wird 
vom POT-Gerat elektronisch signiert und optional komprimiert und chiffriert. 
Der auf diese Weise vorbereitete elektronische Transaktionsbeleg wird dann 

20 optional im Schritt 230 in einem Stack im POT-Gerat 2 abgelegt. Der Stack 
enthalt Transaktionsbelege von verschiedenen Kunden. Die Transaktionsbe- 
lege werden dann individuell Oder gruppiert wahrend dem Schritt 231 der 
Clearingeinheit 3 ubertragen. Die Ubertragung kann entweder gleich nach der 
Transaktion erfolgen, Oder es konnen in periodischen Zeitabstanden (zum Bei- 

25 spiel jede Stunde oder jeden Tag) mehrere Transaktionsbelege aus dem Stack 
ubertragen werden. Ein Batch-Prozess, urn alle Transaktionsbelege zum Bei- 
spiel in der Nacht zu ubertragen, kann auch angewendet werden. 

Die Clearingeinheit 3 empfangt individuelle oder gruppierte Trans- 
aktionsbelege aus mehreren POT-Geraten 2 in d^selben geographischen 
30 Zone (Schritt 234). Mehrere geographisch verteilte Clearingseinheiten konnen 
vorgesehen werden. Im Schritt 235 teilt die Clearingseinheit 3 die von ver- 
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schiedenen POT-Geraten empfangenen Transaktionsbelege den entsprechen- 
den Finanzinstituten oder Dienstanbietern zu, und leitet diese Transaktionsbe- 
lege entsprechend weiter. 

Wenn die Transaktionsbelege chiffriert sind, mussen sie von der 
5 Clearingeinheit zuerst entschlusselt werden, um einem Finanzserver 4, 4', 4" 
zugeteilt zu werden, und dann wieder von der Clearingseinheit chiffriert, um sie 
weiterzuleiten. In einer bevorzugten Variante werden jedoch die Datenele- 
mente in den Feldern IDUI und eventuell POSID des Transaktionsbeleges, die 
fur das Clearing benotigt sind, vom POT-Gerat 2 nicht chiffriert. Dadurch kann 
10 eine gesicherte, end-to-end verschlusselte Ubertragung der Transaktionsbe- 
lege zwischen den POT-Geraten und den Finanzserver 4, 4', 4" erreicht wer- 
den. 

Der zustandige Finanzserver empfangt im Schritt 236 die Transak- 
tionsbelege, und der TTP-Server 40 dekomprimiert und entschlusselt sie (falls 

15 benotigt), und uberpruft die Echtheit der Signaturen vom POT-Gerat und vom 
Kunden. Im Schritt 237 wird gepruft, ob der POSID und/oder die IDUI sich in 
einer Revocation List befinden. 1st der Test negativ (238), weil weder die POT- 
Gerat-ldentifizierung noch die Kundenidentifizierung IDUI sich auf dem 
Revocation List befinden, erfolgt im Schritt 239 ein Test des Ladetokens LT. 

20 Der Ladetoken LT gibt die Anzahl der Nachladungen der Karte 1 0. Dieser 
Ladetoken wird im Finanzserver (LT S ) und in der Karte (LT C ) nach jedem 
Nachladeprozess aktualisiert, wie spater beschrieben. Eine Kopie des Lade- 
tokens LT C ist im Feid iDUi im Transaktionsbeieg uberiragen. Der vom Mobii- 
system 1,10 mitgeteilte Ladetoken LT C muss gleich wie der im Finanzserver 4 

25 gespeicherte Ladetoken LT S sein. Falls Nachladebelege noch auf dem Weg 
zwischen der Finanzserver 4 und dem Mobilsystem 1,10 sind, kann LT C tempo- 
rar auch kleiner sein als LT S . Der Finanzserver 4 pruft also ob LT C < LT S . 

Wird im Schritt 240 diese Bedingung nicht verifiziert, wurde wahr- 
scheinlich ein nicht autorisierter Nachladeprozess durchgefuhrt und das Ver- 
30 fahren geht zum Schritt 241 uber. Es wird hier unterschieden, ob die Falschung 
vom POT oder vom Kunden gemacht worden ist. Ist der Kunde verantwortlich, 
wird er im Schritt 242 in einer Blackliste eingetragen. Ein Kundensperrungsbe- 



WO 98/37524 PCT/CH98/00086 

17 



leg wird vorzugsweise generiert und an das Mobilsystem 1,10 des Kunden 
geschickt, urn das Blockierflag zu setzen und dieses System zu sperren, sowie 
an alle POT-Gerate, oder zumindest an alle POT-Gerate im einem vordefinier- 
ten geographischen Bereich, urn diesen Kunden in der Blackliste dieser POT 
5 einzutragen. Wurde dagegen das Problem vom POT-Gerat verursacht, wird 
dieses im Schritt 243 in einer POT-Blackliste eingetragen. 

Wird im Schritt 240 die Ladetokenprufung bestanden, kann im 
Schritt 244 der Betrag A im Transaktionsbeleg dem Kundenkonto 41 beim 
Finanzinstitut belastet werden. Andere Zahlungsvarianten, zum Beispiel mit 

10 einer Kreditkarte oder durch Erstellung einer Rechnung, sind naturlich im 

Rahmen dieser Erfindung auch moglich. Im Schritt 245 wird entsprechend der 
Betrag A einem Konto 420, 420' Oder 420" des POT-Betreibers bei einem 
Finanzinstitut gutgeschrieben. Bearbeitungsgebuhren konnen auch von einem 
Finanzinstitut und/oder vom POT-Betreiber oder vom Netzoperator dem POT- 

15 Konto 420 und/oder dem Kundenkonto 41 belastet werden. 

Im Schritt 246 tragt dann der Finanzserver 4 diese Transaktion in 
den Transaktionszahler ein. Ein Prozess erfolgt dann im Schritt 247, urn die 
Werte vom Ladetoken LT und vom Transaktionszahler Tz im Mobilsystem zu 
aktualisieren 

20 Wir kommen auf den Prozess im Mobilsystem 1,10 zuruck. Wie 

schon erklart, gelangt dieses System zum Schritt 248, wenn ein Sicherheits- 
problem im Schritt 212, 214 oder 216 festgestellt wird. In diesem Fall erfolgt ein 
kompletter Checkup mit dem Finanzserver, vorzugsweise uber das Mobilfunk- 
system 6. Der Checkup umfasst zum Beispiel einen Test und eine Erneuerung 

25 des Authentifizierungszertiftkats sowie eine Uberprufung von alien ausgefuhr- 
ten Parametern, zum Beispiel der Ladetoken LT, der Transaktionzahler Tz, der 
Blackliste, usw. 1st das Ergebnis des Checkups negativ, wird das Blockierflag 
gesetzt, so dass das Mobilsystem 1 , oder mindestens die betreffende Anwen- 
dung in der SIM-Karte 10, gesperrt wird (Schritt 253). Zeigt im Gegenteil diese 

30 Prufung, dass hochstwahrscheinlich keine Falschung versucht wurde, wird im 
Schritt 250 die Validationszeit neu gesetzt. Mit der Validationszeit kann zum 
Beispiel das Mobilsystem gesperrt werden, wenn es wahrend einer vordefi- 
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nierten Zeit, zum Beispie! ein Jahr, nicht benutzt wird. Diese Angabe muss da- 
her nach jeder Benutzung neu eingestellt werden. Der Blockierflag wird dann 
im Schritt 251 geloscht, und eine neue Area im Schritt 252 gesetzt. 

Wichtig zu bemerken ist, dass der Belastungsprozess mit unter- 
5 schiedlichen Wahrungen erfolgen kann, zum Beispiel auf der Basis der im 
Telekommunikationsbereich ublichen SDR (Sonderziehungsrechte) Oder mit 
einer anderen Referenzwahrung (zum Beispiel Euro oder Dollar). Der maximale 
Betrag auf der Karte ist je nach Kundenklasse definiert. Minimal ist ein 
Defaultwert in SDR moglich. Jedes Gerat 2 speichert den fur ihn relevanten 
10 SDR-Wert (wahrungsspezifisch), der ihm im Einbuchungsprozess vom Server 
mitgeteilt wird. Je nach Kursschwankungen werden die POT-Gerate vom 
Finanzserver automatisch mit aktuellen Kursen versorgt. 

Ein Verfahren zum Nachladen des Mobilsystems 1, 10 mit einem 
Geldbetrag wird jetzt mit Hilfe der Figur 6 naher beschrieben. Dieses Verfahren 
15 kann ebenfalls auf beliebige Ausfuhrungsformen der Erfindung gemass den 
Figuren 1 bis 4 angesetzt werden. 

Ein Nachladeprozess erfolgt mit dem Mobilsystem 1,10 des Kunden 
und dem POT-Gerat 2 zusammen. Ein direkter Nachladeprozess vom Finanz- 
server 4 konnte aber auch angesetzt werden. Je nach Kundenklasse, oder 
20 auch nach Bedarf, kann vom Finanzserver der Beleg-Kartenstack beim Kun- 
den, zwecks detaillierter Kontrolle, abgerufen werden. Nach dem Nachladepro- 
zess kann der Stack vom Finanzserver geloscht werden. 

Die erste Kolonne in Figur 6 zeigt die Verfahrensschritte, die haupt- 
sachlich das Mobilsystem 1,10 involvieren ; die zweite beschreibt die Verfah- 

25 rensschritte, die vom POT-Gerat 2 ausgefuhrt werden ; die dritte betrifft die 
Operationen vom Finanzserver 4 und die vierte die Effekte auf die verschiede- 
nen Konten beim Finanzinstitut. Es muss aber bemerkt werden, dass viele 
Verfahrensschritte entweder mit dem Mobilsystem 1,10, zum Beispiel inner- 
halb der SIM-Karte 10, oder mit dem POT-Gerat2 ausgefuhrt werden konnen. 

30 Zum Beispiel konnen die Verfahrensschritte, welche die Dateneingabe betref- 
fen, entweder auf dem POT-Gerat oder auf dem MobilgerSt 1 ausgefuhrt wer- 



WO 98/37524 



19 



PCT/CH98/00086 



den, wenn das Mobilgerat eine Tastatur enthalt, wie zum Beispiel ein GSM- 
Mobilgerat. Wenn das Mobilgerat 1 und das POT-Gerat 2 nicht drahtverbunden 
sind, wird die Kommunikation zwischen den beiden Teilen vorzugsweise ver- 
schlusselt, zum Beispiel mit einem DEA- DES- TDES-, RSA- oder ECC- 
5 Sicherheitsalgorithmus. 

lm Schritt 300 wird zuerst das Mobilsystem 1,10, zum Beispiel die 
Identifizierungskarte 10, operativ fur den Nachladeprozess freigeschaltet ; das 
POT-Gerat 2 wird seinerseits auch im Schritt 301 aktiviert. Das POT-Gerat 2 
ruft dann im Schritt 302 in einem Broadcastverfahren das nachste, unbe- 
10 stimmte Mobilsystem 1 ,10 auf (« Kartenpaging »). 

Wenn die Verbindung zwischen dem POT-Gerat 2 und dem Mobil- 
system 1,10 hergestellt worden ist, ubergibt im Schritt 303 der Kunde dem POT 
seine Identifizierung IDUI (International Debit User Identification) und den Typ 
des zu startenden Prozesses, hier eine Nachladung. 

15 Das POT-Gerat 2 enthalt eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu sperrende Mobilsysteme 
(Revocation list). Die vom Kunden ubermittelte IDUI wird mit der Schwarzliste 
verglichen (Schritt 304). Wenn die vom Kunden ubergebene IDUI in der 
Schwarzliste gefunden wird (Schritt 305), wird ein Blockierflag im Schritt 306 

20 gesetzt. Danach, oder wenn keine Ubereinstimmung gefunden wird, wird im 
Schritt 307 gepruft, ob die Aufforderung mit der IDUI korreliert. Wenn nicht, 
wird der Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315). Sonst 
wird im Schritt 308 das Blockierflag gepruft. Ist es gesetzt, wird das Mobil- 
system 1 , oder mindestens die betreffende Anwendung in der Identifizierungs- 

25 karte 10, gesperrt (Schritt 331). Ist es nicht gesetzt, wird der Kunde im Schritt 
310 aufgefordert, sein Benutzerpasswort am Mobilgerat 1 manuell einzugeben. 
Ist das eingegebene Passwort nicht korrekt (Schritt 31 1), wird ebenfalls das 
Blockierflag gesetzt und der Ruckweisungsgrund am POT-Gerat 2 angezeigt 
(Schritt 315) ; sonst ist der Prozess frei fur die Nachladung und der Kunde wird 

30 im Schritt 312 aufgefordert, die transaktionspezifischen Daten, hier ein Nach- 
ladebetrag A, einzugeben. In der dargestellten Variante kann der Nachladebe- 
trag am POT-Gerat eingegeben werden ; dieser Betrag wird im Schritt 313 mit 
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der POSID und mit der 1DUI verknupft, signiert und an die Karte 10 ubermittelt. 
Der Betrag A konnte aber auch am Mobilgerat 1 erfasst werden ; in diesem Fall 
ist kein POT involviert, und die POSID wird daher nicht benotigt. 

Im Schritt 314 wird gepruft, ob die IDUI in den vom POT-Gerat 2 
empfangenen Daten mit der eigenen IDUI ubereinstimmt. Wenn nicht, wird der 
Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315) ; sonst wird der 
gewunschte und am POT-Gerat eingegebene Nachladebetrag auf dem Bild- 
schirm des Mobilgerats angezeigt. Im Schritt 316 werden dann die POSID, die 
IDUI, die schon erwahnte Anzahl Zahlungstransaktionen Tz, die auf der Karte 
gespeicherte Anzahl ausgefuhrter Nachladeprozesse (LTc, Lade-Token Kun- 
den) und der Restbetrag auf der Karte DRA (Debit Rest Amount) verknupft, 
signiert, verschlusselt und dann optional komprimiert. Es entsteht dadurch ein 
Nachladebeteg. Optional kann auch der Beleg-Stack auf der Karte ubermittelt 
werden, zum Beispiel je nach Kundenklasse, bei Kartenausgabe oder nach 
Bedarf wahrend der Nutzung bei Solvenzproblemen. Die POSID wird nur in den 
Nachladebeleg integriert, wenn der Kunde uber ein Mobilgerat ohne den POT- 
Eingabeteil verfugt, damit er vom Finanzserver auch adressiert werden kann. 
Der Nachladebeleg wird dann an den Finanzserver 4, A\ bzw. 4" ubermittelt, 
wo der TTP-Server 40 diesen Beleg im Schritt 317 empfangt, gegebenenfalls 
entschlusselt und dekomprimiert, und die Signatur vom Kunden und gegebe- 
nenfalls vom POT uberpruft. 

Im Schritt 31 9 werden mit Hilfe der Tabelle 31 8, welche die Anzahl 
und Token bezuglich der Prozesse zwischen dem Kunden und dem Finanz- 
server speichert, folgende Prufungen durchgefuhrt : 

25 Betrageprufung : Die Summe LA aller auf der Karte geladenen Be- 

trage, inklusive der Startsumme, muss gleich oder kleiner sein als die Summe 
aller Kontrollbelastungen 2KB und des Restbetrags DRA auf der Karte. Die 
Summe kann kleiner sein, weil die Belege, die noch zwischen dem Mobilsystem 
1,10, der Clearingeinheit 3 und dem Finanzserver 4, 4\ 4" sind, in diesem 

30 Moment noch nicht erfasst werden konnen. 
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Ladetoken-Prufung : Die Anzahl von Lade- bzw. Nachlade-Trans- 
aktionen wird im Mobilsystem, zum Beispiel in der SIM-Karte mit einem Token 
LTc und im Finanzserver4 mit einem anderen Token LTs gezahlt. Diese beide 
Token mussen gleich sein. 

5 Transaktionszahlerprufung : Fur jede Zahlungstransaktion wird der 

Transaktionszahler Tz im Mobilsystem 1,10 inkrementiert ; in jedem Nachlade- 
beleg wird auch Tz ubertragen. Der beim Finanzserver gespeicherte Transakti- 
onszahler Tzs, der durch die vom Kunden transferierten Belege inkrementiert 
wird, muss gleich oder eventuell kleiner sein als der Transaktionszahler Tz im 

10 Mobilsystem 1,10. 



Wenn eine von diesen drei Bedingungen nicht erfullt ist (Schritt 
320), wird der Blockierflag im Schritt 321 gesetzt und der Nachladeprozess im 
Schritt 325 zuruckgewiesen. Sonst wird im Schritt 322 der Kontostand 41 des 
Kunden uberpruft. Reicht er nicht fur die Nachladung, wird im Schritt 325 
15 ebenfalls die Ruckweisung aufbereitet. 

Wenn das Konto (oder die Kontolimite) des Kunden beim Finanz- 
institut 4 fur den nachzuladenden Betrag reicht (Schritt 322, 323), wird dieser 
Betrag vom Kundenkonto 41 abgehoben (324), inklusive allfalliger Kommis- 
sionen. Ein Nachladebeleg wird dann im Schritt 326 aus der POSID, der IDUI, 

20 dem Betrag A, dem neuen Lade-Token LTn, und einem vordefinierten Time Out 
Inkrement TOi erstellt. Dieser Nachladebeleg wird im Schritt 327 signiert, 
optional verschlusselt und komprimiert, und an das Mobilsystem 1,10 des Kun- 
den ubertragen. Dieses pruft wahrend dem Schritt 328, ob die Signatur im Be- 
leg vom Finanzserver stammt, und verifiziert wahrend dem Schritt 330, ob das 

25 Blockierflag gesetzt ist Falls es gesetzt ist (Schritt 330), wird das Mobilsystem 
1 , oder mindestens die betreffende Anwendung, im Schritt 331 gesperrt. Sonst 
wird noch gepruft, ob der Finanzserver eine Ruckweisung aufgefordert hat 
(Schritt 332), was zur Unterbrechung des Prozesses mit Anzeige des Ruckwei- 
sungsgrundes fuhrt (Schritt 334). 

30 Wenn alle Tests erfolgreich bestanden sind, wird im Schritt 335 das 

Kartenkonto mit dem geforderten Nachladebetrag gebucht. Der alte Ladetoken 
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LTc wird dann mit dem vom Finanzserver ubermittelten neuen Ladetoken LTn 
ersetzt (Schritt 336), der Transaktionszahler Tz auf der Karte wird im nachsten 
Schritt 337 zuruckgesetzt, und der Time Out TOi im Schritt 338 neu gesetzt. 
Wenn im Schritt 339 festgestellt wird, dass im Nachladebeleg das POSID ent- 
5 halten ist, wird ausserdem im Schritt 340 eine neue Area gesetzt. 

Der Nachladebetrag wird dann als Bestatigung angezeigt, entweder 
am Bildschirm des Mobilgerats Oder am POT-Gerat (Schritt 341). Schliesslich 
wird auch noch der Gesamtkontostand auf der Karte angezeigt (Schritt 342). 

Die Sicherung der Datenubermittlungen durch Kryptographie wird in 
10 zwei verschiedenen Segmenten unterschiedlich unternommen. Zwischen dem 
Kunden und dem POT wird die Kommunikation durch die Luftschnittstelle durch 
zum Beispiel einen Algorithmus wie DES, TDES, RSA Oder ECC sichergestellt. 
Zwischen Kunden und Finanzserver kommt dagegen das TTP (Trusted Third 
Party)- Verfahren, Oder optional ein PTP-Verfahren (Point-to-Point) zur Anwen- 
15 dung. Die notigen Elemente sind auf das Identifizierungselement 10 und im 
TTP-Server 40 integriert. Eine Beschreibung des TTP-Konzeptes wird als An- 
hang beigelegt. 

In der Folge wird mit Hilfe der Figur 7 der Informationsfluss in einer 
funften Variante des Transaktionsverfahrens gemass der Erfindung erlautert. 
20 Der Kunde ist mit einem Mobilgerat 1 ausgerustet, das ebenfalls eine SIM- 
Karte 10 enthalt, die ihn im GSM-Netz 5 identifiziert. Der Verkaufer braucht ein 
POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikations- 
netz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Betreiber 
des Finanzservers 4\ zum Beispiel einem Finanzinstitut. 

25 Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 

der Verkaufer zuerst den zu bezahlenden Betrag A in den POT 2 eintippen. 
Das POT-Gerat verknupft diesen Betrag A mit einem im POT gespeicherten 
POSID, das die Filiale und die Kasse in dieser Filiate identifiziert. Diese ver- 
knupften Daten werden durch das vorzugsweise gesicherte Datennetz 6 an den 

30 Finanzserver 4' ubermittelt. 
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Der Kunde bereitet auf seinem Gerat 1 eine spezielle Kurzmeldung 
vor, vorzugsweise eine SMS-Kurzmeldung oder eventuell eine USSD-Datei, die 
den zu zahlenden Betrag A und das vom Verkaufer mundlich kommunizierte 
POSID enthalt, und sendet diese Kurzmeldung uber das GSM-Netz 5 und die 
5 nicht dargestellte Kurzmeldungsbetriebszentrale (SMSC) an den Finanzserver 
4\ Diese Kurzmeldung enthalt automatisch die in der SIM-Karte gespeicherte 
Kundenidentifikation. Vorzugsweise ist ausserdem ein verlangter Sicherheits- 
PIN-Code enthalten. Die Kurzmeldung kann vor der Ubermittlung verschlusselt 
werden. 

10 Vorzugsweise werden keine Angaben uber den gekauften Dienst, 

das Produkt oder die Information ubermittelt, urn die Privatsphare des Kaufers 
zu schutzen. 

Der Finanzserver 4' erhalt die Daten vom POT-Gerat 2 und vom 
Mobil system 1 des Kunden und erganzt sie, falls notwendig. Er kennt vom POT 

15 die Identitat POSID und den Betrag A. Daher kann er das gutzuschreibende 
POT-Konto 420, 420\ 420" bestimmen. Vom Kunden kennt er die Identitat 
durch Kundenidentifizierung und gegebenenfalls den PIN und den Betrag. 
Daher kann er das zu belastende Kundenkonto 41 bestimmen. Der Finanz- 
server 4' vergleicht dann das vom POT-Gerat 2 und vom Mobilsystem uber- 

20 mittelte POSID sowie den Betrag. Bei Ubereinstimmung erfolgt die Transaktion 
zwischen POT-Konto und Kundenkonto. Der Finanzserver A 1 schickt dann eine 
Meldung an das POT-Gerat 2 und/oder an das Mobilgerat 1, dass die Trans- 
aktion erfolgt ist, und diese Meldung wird angezeigt. Bei Unstimmigkeiten wird 
der Vorgang abgebrochen. 

25 In der Folge wird mit Hilfe der Figur 8 der Informationsfluss in einer 

sechsten Variante des Transaktionsverfahrens gemass der Erfindung erlautert. 
Der Kunde ist mit einem Mobilgerat 1 ausgerustet, das ebenfalls eine SIM- 
Karte 10 enthalt, die ihn im Mobilfunknetz 5 identifiziert. Der Verkaufer braucht 
ein POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikati- 

30 onsnetz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Be- 
treiber des Finanzservers 4\ zum Beispiel ein Finanzinstitut. 
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Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
der Betreiber des POT-Gerats, zum Beispiel ein Verkaufer, den zu bezahlen- 
den Betrag A und die Mobilrufnummer vom Kunden auf dem POT-Gerat 2 er- 
fassen. Das POT-Gerat verknupft diese Angaben mit einem im POT gespei- 
5 cherten POSID, das die Filiale und die Kasse in dieser Filiale identifiziert. 
Diese verknupften Daten werden durch das vorzugsweise gesicherte Daten- 
netz 6 an den Finanzserver 4' ubermittelt. Vorzugsweise werden keine Anga- 
ben uber das gekaufte Produkt ubermittelt, urn die Anonymitat des Kaufers zu 
gewahrleisten. 

10 Der Finanzserver 4' erhalt die Daten vom POT und erganzt sie, falls 

notwendig. Er kennt die Identitat POSID des POT und den Betrag A. Daher 
kann er das gutzuschreibende POT-Konto 420, 420\ 420" bestimmen. Eben- 
falls kann er den Kunden durch die ubermittelte Mobilrufnummer identifizieren, 
und kennt daher das zu belastende Kundenkonto 41 . 

15 Der Finanzserver 4' schickt dann dem Kunden eine spezielle Kurz- 

metdung, zum Beispiel eine SMS- Oder USSD-Kurzmeldung, die den Betrag A 
enthalt. Der Kunde muss dann die Transaktion mit einer Bestatigungs-Kurz- 
meldung bestatigen, die eine Identifizierung des Kunden im GSM-Netz enthalt. 
Falls keine Bestatigung des Kunden kommt, oder wenn die ubermittelte Identi- 

20 fizierung nicht mit der Kunden-Mobilrufnummer ubereinstimmt, wird der Vor- 
gang abgebrochen. Sonst erfolgt die Transaktion. 

In der Folge wird mit Hilfe der Figur 9 der Informationsfluss in einer 
siebten Variante des Transaktionsverfahrens gemass der Erfindung erlautert. 
Der Kunde ist mit einem Mobilgerat 1 ausgerustet, das ebenfalls eine SIM- 
25 Karte 10 enthalt, die ihn im GSM-Netz 5 identifiziert. Der Verkaufer braucht ein 
normales POT-Gerat 2, das keinen Telekommunikationsanschluss benotigt. 
Beide haben einen Vertrag mit dem Betreiber des Finanzservers 4\ zum Bei- 
spiel einem Finanzinstitut. 

Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
30 der Kunde eine spezielle Kurzmeldung, zum Beispiel eine SMS- oder USSD- 
Kurzmeldung, vorbereiten, die den zu zahlenden Betrag A und das vom Ver- 
kaufer kommunizierte POSID enthalt, und diese Kurzmeldung uber das GSM- 
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Netz 5 und die SIM-Zentrale an den Finanzserver 4' senden. Diese Kurzmel- 
dung enthalt automatisch die in der SIM-Karte gespeicherte Kundenidentifika- 
tion. Vorzugsweise enthalt sie ausserdem einen verlangten Sicherheits-PIN- 
Code. Vorzugsweise werden keine Angaben uber das gekaufte Produkt uber- 
5 mittelt, urn die Privatsphare des Kaufers zu schutzen. 

Der Finanzserver 4' erhalt die Daten vom Kunden und erganzt sie, 
falls notwendig. Er kennt die Identitat POSID des POT-Gerats und den Betrag 
A. Daher kann er das gutzuschreibende POT-Konto 420 bestimmen. Ebenfalls 
kann er den Kunden durch die Kundenidentifizierung in der Kurzmeldung iden- 
10 tifizieren, und kennt daher das zu belastende Kundenkonto. 

Der Finanzserver 4' tatigt dann die Transaktion, und sendet dem 
POT-Betreiber eine Bestatigungsmitteilung in Form einer Kurzmeldung, eines 
e-mails oder eines normalen Postbriefes. Diese Mitteilung enthalt mindestens 
die Identifizierung des POT, das Datum, die Zeit, den Betrag und eventuell das 
15 Kundenkonto. 

Vorzugsweise werden alle Belege zwischen Mobilgeraten, POT-Ge- 
raten und den Finanzservern als SMS- oder USSD-Meldungen ubermittelt. 
Falls SMS-Kurzmeldungen benutzt werden, werden sie vorzugsweise mit ei- 
nem speziellen Header im Datentelegramm versehen, um diese Meldungen 
20 von gewohnlichen Meldungen zu unterscheiden. Vorzugsweise wird ausserdem 
der Inhalt von diesen Meldungen mit dem im Anhang beschriebenen und durch 
die Figuren 10 bis 13 veranschaulichten TTP-Verfahren verschlusselt. 

Der Fachmann wird verstehen, dass die Erfindung auch fur nicht 
finanzielle Transaktionen zwischen einem Mobilsystem und einem mit einem 

25 Telekommunikationsnetz 5 verbundenen POT-Gerat 2 geeignet ist. Das POT- 
Gerat 2 kann zum Beispiel auch durch eine Verschlussvorrichtung gebildet 
werden ; fur diese Anwendung ist das Mobilsystem 10, zum Beispiel in der 
Form einer Chipkarte, mit einem elektronischen Schlussel geladen; der Schlus- 
sel wird aus dem Server 4 nachgeladen und auf der Karte 1 0 gespeichert. Um 

30 die Verschlussvorrichtung zu offnen, wird eine konfaktlose Kommunikation, 
zum Beispiel durch eine induktive oder eventuell infrarote Schnittstelle, zwi- 
schen dem Mobilsystem 10 und dem POT-Gerat 2 aufgebaut. Die Verschluss- 
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vorrichtung wird nur dann geoffnet, wenn es sich nach dieser Kommunikation 
erweist, dass der im Mobilsystem 10 gespeicherte Schlussel korrekt ist und 
seinem Besitzer das Eintrittsrecht in die geschutzte Zone gibt. Der Server 4, mit 
dem die Verschlussvorrichtung durch das Netz 5 verbunden ist, verwaltet und 
5 registriert die Zutrittsgenehmigungen und belastet gegebenenfalls das Konto 
41 des Kunden mit einem von den erfolgten Zutritten abhangigen Betrag. 
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Anhang - GruncHagen der Kryptographie und TTPs 



Sicherheitsanforderungen 



Beim Austausch von Daten zwischen dem Mobilsystem 1,10 und 
5 dem Finanzserver 4 unterscheidet man zwischen folgenden Anforderungen an 
die Sicherheit: 



• Vertraulichkeit: Sicherstellung, dass eine Information nicht fur 
Unbefugte zuganglich oder lesbar gemacht wird. 



• Authentifikation: Prozess, in dem die Authentizitat uberpruft wird. 

10 • Authentizitat: Beweis einer Identitat. Sie bewirkt die Gewissheit, 

dass der Kunde, das POT-Gerat 2 oder der Server 4 tatsachlich 
derjenige ist, fur den er sich ausgibt. 



• Authentizitat einer Information: Gewissheit, dass der Absender/ 
Hersteller einer Information (Mobilsystem 1,10, POT-Gerat oder 
15 Finanzserver) authentisch ist. 



• Nichtabstreitbarkeit des Ursprungs / Herkunftsbeweis: Der 
Absender einer Information kann nicht abstreiten, dass die Infor- 
mation von ihm stammt. 



• Integritat: Sicherstellung der Konsistenz der Information, d.h. 
20 Schutz vor Veranderung, Hinzufugung oder Loschung von Infor- 

mationen. 



Nachfolgend wird hier statt des Begriffes Jnformation" der Begriff 
„Meldung" verwendet. Eine Meldung ist eine Information (hier eine Bitfolge), die 
von einem Absender an einen Empfanger ubermittelt wird. Fur diese Applika- 
25 tion kann eine Meldung zum Beispiel ein Zahlungsbeleg oder ein Nachlade- 
beleg sein. Die Begriffe ^Absender 11 und „Empfanger" meinen, je nach Richtung 
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der Meldung, entweder das Mobilsystem 1,10, das POT-Gerat 2 Oder den 
Finanzserver 4. 

Die Authentizitat des Absenders, Integritat der Information und 
Nichtabstreitbarkeit des Ursprungs der Information werden durch die Verwen- 

5 dung einer sog. Digitalen Signatur erreicht. Eine Digitale Signatur ist ein 
kryptographischer Code (d.h. eine Bitsequenz), der fur eine bestimmte Infor- 
mation einzigartig ist, und fur dessen Herstellung ein kryptographischer 
Schlussel (ebenfalls eine Bitsequenz), den nur der Verfasser besitzt, benotigt 
wird. Die Digitale Signatur kann demnach nur vom Besitzer des privaten 

10 Schlussels hergestellt werden. Sie wird normalerweise der Originalmeldung 
beigefugt. 

Die Vertraulichkeit der Informationsubertragung wird durch Ver- 
schlusselung erreicht. Sie besteht darin, dass die Meldung mit Hilfe eines Ver- 
schlusselungsalgorithmus und eines kryptographischen Schlussels 
15 (Bitsequenz) in einen unleserlichen Zustand verwandelt wird. Aus der auf diese 
Art verwandelten Meldung kann die Ursprungsinformation nicht zuruckgewon- 
nen werden, es sei denn, man kenne den zum Entschlusseln notwendigen 
Schlussel. 

Wie das im Detail funktioniert, wird im folgenden dargelegt. 

20 Symmetrische und asymmetrische Verschlusselung 

Man unterscheidet zwei Arten von Verschlusselungsalgorithmen: 

• Symmetrisch: Zum Chiffrieren und Dechiffrieren (Chiffrieren = 
Verschlusseln) einer Information wird derselbe kryptographische 
Schlussel verwendet. Folglich mussen der Absender und der 
25 Empfanger im Besitz des gleichen Schlussels sein. Ohne diesen 

Schlussel ist es unmoglich, die Originalinformation wieder zuruck- 
zubekommen. Der heute am haufigsten verwendete symmetrische 
Algorithmus ist DES (Digital Encryption Standard). Andere Algo- 
rithmen sind z.B. IDEA, RC2 und RC4. Symmetrische Algorithmen 
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werden vorzugsweise fur die Sicherung der Datenubertragungen 
zwischen Mobilsystem und POT-Gerat eingesetzt. Der Schlussel 
wird dann im POT-Gerat 2 und im Mobilsystem 10 gespeichert. 

• Asymmetrisch: Zum Chiffrieren und Dechiffrieren werden zwei 
5 verschiedene, komplementare Schlussel verwendet 

(Schlusselpaar); das heisst, die Meldung wird mit einem ersten 
Schlussel chiffriert und mit einem zweiten Schlussel dechiffriert. 
Diese Prozedur ist umkehrbar, d.h., es kann auch der zweite 
Schlussel zum Chiffrieren und der erste Schlussel zum Dechiffrie- 

10 ren benutzt werden. Es ist unmoglich, aufgrund des ersten 

Schlussels den zweiten Schlussel zu rekonstruieren (oder umge- 
kehrt). Ebenso ist es unmoglich, aufgrund der chiffrierten Informa- 
tion den Schlussel zu berechnen (dies ist sogar dann gultig, wenn 
die Originalinformation bekannt ist). Der heute mit Abstand am 

15 haufigsten verwendete asymmetrische Algorithmus ist RSA 

(benannt nach dessen Erfindern Rivest, Shamir und Adleman). 
Eine Variante davon ist DSS (Digital Signature Standard). 

Mit Hilfe der asymmetrischen Chiffrierung kann eine sogenannte 
20 Digitale Signatur hergestellt werden. Wie das im Detail funktio- 

niert, wird im folgenden erklart. 

Private und offentliche Schlussel 

Mit Hilfe der asymmetrischen Verschlusselungstechnik kann ein so- 
genanntes System von offentlichen und privaten Schlusseln realisiert werden. 

25 Dabei wird der eine Schlussel des komplementaren Schlusselpaares als privat 
bezeichnet. Er ist im Besitz des Absenders, zum Beispiel des Kunden, und ist 
nur ihm bekannt. Er wird deshalb auch geheimer Schlussel genannt (wobei 
dieser Begriff normalerweise fur symmetrische Schlussel verwendet wird). Der 
andere Schlussel ist der offentliche Schlussel. Er ist allgemein zuganglich. Wie 

30 oben erwahnt, ist es nicht moglich, aufgrund des offentlichen Schlussels den 
privaten Schlussel zu berechnen. Jedes Mobilsystem, POT-Gerat und jeder 
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Finanzserver erhalt von einer vertrauenswurdigen Instanz ein Schlusselpaar 
bestehend aus einem privaten und einem offentlichen Schlussel. 

Es ist von eminenter Wichtigkeit, dass der private Schlussel auch 
wirklich geheim bleibt, d.h., dass keine andere Person ihn kennt, weil darauf 

5 die Sicherheit der Digitalen Signatur aufbaut. Darum wird der private Schlussel 
nur in verschlusselter Form auf der Identifizierungskarte 10 gespeichert, auf 
der ausserdem der Chiffrieralgorithmus direkt implementiert ist. Auf diese 
Weise bleibt der private Schlussel immer im Chip und verlasst diesen in kei- 
nem Moment. Die zu verschlusselnden Daten werden in den Chip transferiert, 

10 dort werden sie verschlusselt und anschliessend wieder zuruckgesendet. Die 
Architektur des Chips ist so definiert, dass der private Schlussel weder mit 
elektronischen, noch mit optischen, mechanischen, chemischen Oder elektro- 
magnetischen Mitteln gelesen werden kann. 

Im Gegensatz zum privaten Schlussel ist der offentliche Schlussel 
15 allgemein bekannt und wird an alle Benutzer verteilt. Der Einfachheit halber 
wird der offentliche Schlussel in der Regel mit jeder Meldung mitgeschickt. Wie 
wir weiter unten sehen werden, braucht es dabei eine vertrauenswurdige 
Instanz (Zertifizierungsinstanz), die fur die Echtheit der offentlichen Schlussel 
burgt, da ein Krimineller sein eigenes Schlusselpaar herstellen und sich als 
20 jemand anderen ausgeben kann. Diese Echtheitsgarantie geschieht in Form 
eines sogenannten Zertifikates, was im folgenden genauer beschrieben wird. 

Die Hashfunktion 

Die Hashfunktion ist ein nicht-reziproker Algorithmus, der aufgrund 
einer bestimmten Information beliebiger Lange einen Hashwert 

25 (Kurzfassung/Komprimat) fixer Lange herstellt. Er ist mit der Quersumme einer 
ganzen Zahl vergleichbar. Dabei ist die Lange der Meldung typischerweise urn 
einiges grosser als der daraus berechnete Hashwert. So kann die Meldung z.B. 
mehrere Megabytes umfassen, wogegen der Hashwert nur 128 Bits lang ist. Es 
ist zu beachten, dass aufgrund des Hashwertes nieht auf die Originalinforma- 

30 tion zuruckgeschlossen werden kann (Nichtreziprokitat), und dass es extrem 
schwierig ist, die Information so zu modifizieren, dass sie den gleichen 
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Hashwert ergibt. Zweck einer solchen Funktion ist die Herstellung eines kur- 
zen, fur das jeweilige Dokument einzigartigen, Codes. Dieser wird fur die Her- 
stellung der Digitalen Signatur benutzt. Beispiele von Hashalgorithmen sind 
MD4 (Message Dienst 4), MD5, RIPE-MD und SHA (Secure Hash Algorithm). 

5 Die Digitale (Elektronische) Signatur 

Dieses Verfahren wird mit Hilfe der Figur 10 beschrieben. Jeder Be- 
nutzer erhalt einen privaten und einen offentlichen Schlussel. Urn eine Mel- 
dung 90 digital zu signieren, wird sie mit dem privaten Schlussel des Absen- 
ders chiffriert (Block 94). Das Resultat ist die Digitale Signatur 92. Da aber die 

10 so entstandene Signatur die gleiche Grosse wie die Originalmeldung aufweisen 
wurde, wird zuerst der Hashwert 93 der Meldung 90 berechnet. Wie oben er- 
wahnt, hat der Hashwert eine fixe Lange und ist fiir eine bestimmte Meldung 
einzigartig. Fur die Bildung der digitalen Signatur wird nun statt der Original- 
meldung der Hashwert 93 chiffriert. Die so entstandene Digitale Signatur 92 

15 wird dem Originaldokument 90 beigefugt. Das Ganze wird dann an den Emp- 
fanger verschickt (Figur 1 0). 

Da nur der Absender des Dokumentes im Besitz seines privaten 
Schlussels 91 ist, kann nur er die Digitale Signatur herstellen. Hier liegt denn 
auch die Analogie zu einer handschriftlichen Unterschrift. Die Digitale Signatur 

20 besitzt aber gewisse Eigenschaften, die bei der handschriftlichen Unterschrift 
nicht vorhanden sind. So kann z.B. bei einem handschriftlich unterschriebenen 
Vertrag nicht ausgeschlossen werden, dass keine Information unbemerkt hin- 
zugefugt oder geloscht wurde, was bei der Digitalen Signatur nicht moglich ist. 
Die Digitale Signatur bietet also sogar eine noch bessere Sicherheit als die 

25 traditionelle handschriftliche Unterschrift. 

Uberprafung der Digitalen Signatur 

Da der offentliche Schlussel 97 an alle Benutzer verteilt wird und 
somit allgemein bekannt ist, kann jeder Empfanger die Digitale Signatur 92 
uberprufen. Dazu dechiffriert er die Digitale Signatur 92 mit dem offentlichen 
30 Schlussel 97 des Absenders (Block 96 auf Figur 11). Das Resultat ist der 
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Hashwert der Originalmeldung 90. Parallel dazu berechnet der Empfanger den 
Hashwert 95 des Originaldokuments 90, das ja ebenfalls (zusammen mit der 
Signatur 92) an ihn ubermittelt wurde. Diesen resultierenden zweiten Hashwert 
95 vergleicht der Empfanger nun mit dem aus der Signatur dechiffrierten 
5 Hashwert 96. Stimmen die beiden Hashwerte miteinander uberein, so ist die 
Digitale Signatur authentisch. 

Wenn nun die Originalmeldung 90 wahrend der Ubermittlung veran- 
dert wird (ein Bit genugt), so wird sich auch deren Hashwert 95 verandern. 
Somit wurde der Empfanger feststellen, dass der Hashwert 95, den er aufgrund 
10 der Originalmeldung berechnet hat, nicht mit dem aus der Signatur dechiffrier- 
ten Hashwert 96 ubereinstimmt, was bedeutet, dass die Signatur nicht korrekt 
ist. Folglich hat der Empfanger bei einer erfolgreichen Uberprufung der digita- 
len Signatur die Garantie, dass die Meldung 90 nicht verandert wurde 
(Integritat). 

15 Da nur der Hersteller einer Signatur im Besitz seines privaten 

Schlussels 91 ist, kann nur er die Digitale Signatur 92 herstellen. Dies bedeu- 
tet, dass der Empfanger, der die Digitale Signatur 92 besitzt, nachweisen kann, 
dass nur der Absender die Signatur herstellen konnte (Nichtabstreitbarkeit des 
Informationsursprungs). 

20 Zertifizierung des offentlichen Schlussels 

Die Digitaie Signatur 92 ermogiichi also die Nichtabstreitbarkeit des 
Ursprungs und die Integritatsgarantie einer Meldung 90. Nun bleibt aber noch 
ein Sicherheitsproblem, namlich die Echtheitsgarantie des offentlichen Schlus- 
sels 97 des Absenders. Bis jetzt hat namlich der Empfanger keine Garantie 
25 dafur, dass der offentliche Schlussel 97 tatsachlich derjenige des Absenders 
ist. Die Signatur kann zwar gultig sein, der damit verbundene offentliche 
Schlussel 97 konnte aber theoretisch von einem Betruger stammen. 

Der Empfanger einer Meldung 90 brauqht also die Gewissheit, dass 
der offentliche Schlussel 97 des Absenders, in dessen Besitz er ist, tatsachlich 
30 dem richtigen Absender gehort. Diese Gewissheit kann er auf verschiedene 
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Weise erlangen. Eine Moglichkeit ist, dass der Absender ihm den offentlichen 
Schlussel 97 irgendwann einmal persohlich ubergeben hat Oder der Empfan- 
ger ruft den Absender an und vergleicht z.B. die ersten 10 Stellen des offentli- 
chen Schlussels. Diese Methoden sind jedoch umstandlich und bedingen, dass 
5 sich die Benutzer entweder schon kennen oder sich vorher getroffen haben. 

Besser ware es, wenn es eine Instanz gabe, welche die Zugehorig- 
keit eines offentlichen Schlussels zu einer gewissen Person garantiert. Diese 
Instanz wird Zertifizierungsinstanz (Certification Authority / CA) genannt und 
burgt dafur, dass ein bestimmter offentlicher Schlussel 97 einer bestimmten 

10 Person gehort. Sie tut dies, indem sie ein sog. Zertifikat 98 des offentlichen 
Schlussels 97 herstellt (Figur 12). Es besteht im Wesentlichen aus dem offent- 
lichen Schlussel und dem Namen des Besitzers. Das Ganze wird dann von der 
Zertifizierungsinstanz signiert (Signatur 98). Durch die Zertifizierung bindet die 
CA also einen offentlichen Schlussel 97 an einen bestimmten Absender 

15 (Kunden, POT oder Server), Fur alle Benutzer wird so von der CA ein Zertifikat 
des offentlichen Schlussels ausgestellt. Diese Zertifikate sind fur alle Benutzer 
zuganglich. 

, \ 

Durch die Oberprufung der digitalen Signatur 99 des Zertifikates des 
Absenders sowie der Signatur 92 der Meldung selbst hat der Empfanger den 
20 Beweis, dass die Meldung 90 von demjenigen unterschrieben wurde, fur den er 
sich ausgibt (Authentication). 

Es ist zu beachten, dass die Schlusselzertifikate 98 nicht speziell ge- 
schutzt werden mussen, da sie unfalschbar sind. Falls der Zertifikatsinhalt 
namlich verandert wurde, merkt dies der Empfanger, da die Signatur 99 nicht 
25 mehr korrekt ist. Und da niemand ausser der CA den privaten Schlussel der CA 
hat, ist es niemandem moglich, die Signatur der CA zu falschen. 



Es gibt verschiedene Moglichkeiten, wie die Schlusselzertifikate 98, 
99 verbreitet werden. Eine Moglichkeit ist, die Zertifikate 98, 99 mit jeder Mel- 
dung mitzuschicken. 
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Mit Hilfe der oben beschriebenen fechniken konnen also zwei ein- 
ander unbekannte Kunden, POT und Server gegenseitig Informationen austau- 
schen, und dies auf eine sichere Art und Weise. 

Verteilung des offentlichen Schlussels der Zertifizierungs- 

5 instanz 

Nun bleibt noch ein letztes Problem. Wie im vorhergehenden Kapitel 
beschrieben, uberpruft der Empfanger einer Meldung das Zertifikat des Absen- 
ders. Dazu benotigt er den offentlichen Schlussel der Zertifizierungsinstanz. 
Die CA konnte nun zwar ihren eigenen offentlichen Schlussel zertifizieren, dies 

10 macht aber wenig Sinn, da es ja jedem moglich ist, selber ein Schlusselpaar zu 
generieren und selbst ein CA-Zertifikat (mit dem entsprechenden Namen der 
CA) herzustellen. Fur den offentlichen Schlussel der CA gibt es also kein 
eigentliches Zertifikat. Diese Tatsache erlaubt theoretisch einem Kriminellen, 
sich als Zertifizierungsinstanz auszugeben und so falsche Schlusselpaare und 

15 Zertifikate herzustellen und zu verteilen. Darum muss der offentliche Schlussel 
der Zertifizierungsinstanz auf einem sicheren Weg zum Benutzer gelangen. 
Der Benutzer muss uberzeugt sein, den richtigen Schlussel der CA zu besit- 
zen. 

Eine Losung, die sich sofort anbietet, ist, den offentlichen Schlussel 
20 der Zertifizierungsinstanz in der SIM-Karte des Benutzers zu speichern. Jener 
kann zwar (im Gegensatz zum privaten Schlussel des Benutzers) gelesen, aber 
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Architektur des Chips 101 erreicht. 

Ubermittlung einer digital signierten Meldung ohne Chiffrierung: 
25 Zusammenfassung 



Der Absender unterschreibt die Meldung 90 mit seinem privaten, 
auf der Karte 10 gespeicherten Schlussel 91, urn dessen Ur- 
sprung zu bestatigen. 
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• Die Originalmeldung 90 wird zusammen mit der Signatur 92 und 
dem signierten Zertifikat 98, 99 des Absenders an den Empfanger 
gesendet (Pfeil 80). 

• Der Empfanger uberpruft die Digitale Signatur 92 des Dokumen- 

5 tes 90 mit Hilfe des im Zertifikat 98 des Absenders mitgeschickten 

offentlichen Schlussels 97 des Absenders. 

• Ausserdem versichert er sich der Echtheit des offentlichen 
Schlussels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifikats 98 uberpruft. Dazu verwendet er den offentlichen 

10 Schlussel 81 der Zertifizierungsinstanz. 

Chiffrierung der Meldung 

Urn die Vertraulichkeit einer Ubermittlung, d.h. den Schutz vor der 
Einsichtnahme durch Unbefugte, zu gewahrleisten, muss die Meldung ver- 
schlusselt (chiffriert) werden. Dafur gibt es theoretisch zwei Moglichkeiten. Man 
15 konnte die Meldung mit dem offentlichen Schlussel des Empfangers verschlus- 
seln. Da nur der Empfanger im Besitz des dazugehorigen privaten Schlussels 
ist, kann folglich nur er die Meldung entschlusseln. Nun ist es aber so, dass die 
asymmetrischen Chiffrieralgorithmen im Vergleich zu den symmetrischen sehr 
langsam sind. 

20 Darum wird vorzugsweise ein symmetrischer Algorithmus fur die 

Chiffrierung der Meldung benutzt (Figur 13). Der Absender einer Meldung 90 
generiert einen symmetrischen Schlussel 83, mit dessen Hilfe er die Meldung 
90 verschlusselt. Diese symmetrische Verschlusselung nimmt nur einen 
Bruchteil der Zeit in Anspruch, die bei der Verwendung eines asymmetrischen 

25 Algorithmus benotigt wurde. Der Empfanger muss denselben symmetrischen 
Schlussel kennen. Er muss ihm also ubermittelt werden, und zwar verschlus- 
selt, da sonst ein Betruger den Schlussel 83 bei der Ubertragung mitlesen und 
die empfangene Meldung 86 entschlusseln konnte. Darum wird der symmetri- 
sche Schlussel 83, der sogenannte Session Key, mit dem offentlichen Schlus- 

30 sel 84 des Empfangers verschlusselt. Der so entstandene verschlusselte Ses- 
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sion Key wird auch Token 85 genannt. Das Token 85 enthalt also den fur die 
Chiffrierung der Meldung 90 benutzten symmetrischen Schlussel 83, ver- 
schlusselt mit dem offentlichen (asymmetrischen) Schlussel 84 des Empfan- 
gers. Das Token 85 wird zusammen mit der verschlusselten Meldung 86, der 
5 Signatur 92 und dem Zertifikat 98, 99 ubermittelt. 

Der Empfanger entschlusselt das Token 85 mit seinem privaten 
Schlussel. So erhalt er den fur das Entschlusseln der Meldung benotigten 
symmetrischen Schlussel 83. Da nur er den privaten Schlussel hat, kann nur er 
die Meldung dechiffrieren. 

10 Ubermittlung einer digital signierten Meldung mit Chiffrierung: 

Zusammenfassung 



Absender: 



• Der Absender unterschreibt die Meldung 90 mit seinem privaten 
Schlussel 91. 



15 • Dann verschlusselt er die Meldung 90 mit einem von ihm gene- 

rierten symmetrischen Schlussel 83. 

• Diesen symmetrischen Schlussel verschlusselt er dann mit dem 
offentlichen Schlussel 84 des Empfangers. Daraus entsteht das 
Token 85. 



20 • Die Originalmeldung 90 wird dann, zusammen mit dem der 

Signatur 92, dem Token 85 und dem signierten Zertifikat 98, 99, 
an den Empfanger gesendet. 

Empfanger: 



25 



• Der Empfanger entschlusselt zuerst das Token 85 mit seinem pri- 
vaten Schlussel. 
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• Mit dem daraus gewonnenen symmetrischen Schlussel 83 ent- 
schlusselt er die Meldung 90. 

• Nun uberpruft er die Digitale Signatur 92 der Meldung 90 mit Hilfe 
des im Zertifikat 98 des Absenders enthaltenen offentlichen 

5 Schlussels 97. 

• Ausserdem versichert er sich der Echtheit des offentlichen 
Schlussels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifkats 98 durch die Zertifizierungsinstanz uberpruft. Dazu 
verwendet er den offentlichen Schlussel 81 der Zertifizierungsin- 

10 stanz. 

Revocation List / Ungtiltigkeitserklarung von Zertifikaten 

Nehmen wir an, einem Kunden wird seine SIM-Karte, welche seinen 
privaten Schlussel 91 enthalt, gestohlen. Der Einbrecher kann nun diesen pri- 
vaten Schlussel einsetzen und sich fur den Bestohlenen ausgeben, ohne dass 

15 dies der Empfanger merkt. Darum braucht es einen Mechanismus, urn alien 
Benutzern mitzuteilen, dass das zum gestohlenen privaten Schlussel 91 geho- 
rige Zertifikat nicht mehr gultig ist. Dies geschieht mittels einer sogenannten 
Liste von ungultigen Zertifikaten, einer oben erwahnten Certificate Revocation 
List (CRL). Sie wird von der CA digital signiert und veroffentlicht, d.h., sie wird 

20 alien POT und Servern zuganglich gemacht. Jeder Empfanger einer Meldung 
von einem Kunden muss nun also zusatzlich zu der Oberprufung der Signatur 
und des Zertifikats des Absenders kontrollieren, ob letzteres sich nicht in der 
Revokation List befindet, d.h M ob es nicht ungultig ist. 

Damit die Revokation List nicht zu gross wird, werden statt des gan- 
25 zen Zertifikats nur die Seriennummer sowie das Datum, an dem das Zertifikat 
fur ungultig erklart wurde, eingefugt. Die Liste besteht also aus Seriennummern 
und Ungultigkeitserklarungsdaten, welche am Schluss von der CA digital 
signiert werden. Vorhanden sind ebenfalls das Veroffentlichungsdatum der 
Liste und der Name der CA. 
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Das Trust Center und Trusted-Third-Party-Dienste 

Wie wir oben gesehen haben, braucht es in einem offenen und ver- 
teilten System von vielen Benutzern, in dem zwei Benutzer, die uber kein ge- 
meinsames Vertrauensverhaltnis verfugen, sicher miteinander kommunizieren 
5 wollen, eine dritte Stelle, die diesen Benutzern gewisse Sicherheitsdienste zur 
Verfugung stellt, da namlich sonst fur die Benutzer der Aufwand zu gross wird, 
selber die notwendigen Schlussel auszutauschen und zu verwalten. Diese 
Stelle wird Trust Center oder Trusted-Third-Party (TTP) genannt und die Dien- 
ste, die sie anbietet, werden als TTP-Dienste bezeichnet. Die CA ist z.B. ein 
10 solcher Dienst Die TTP ubernimmt die Schlusselverwaltungsaufgaben fur die 
Benutzer und geniesst darum deren Vertrauen. TTP-Dienste dienen also zur 
Sicherung von diversen Applikationen und Protokollen. 

Die Bestandteile einer Trusted-Third-Party sind: 

• Registrierungsinstanz (RA): Er identifiziert die Benutzer, nimmt 
15 ihre Daten auf und leitet sie an die Zertifizierungsinstanz weiter. 

Die Identifikation der Benutzer ist notig, da ja die CA dafur garan- 
tiert, dass ein bestimmter offentlicher Schlussel einer bestimmten 
Person gehort. Dafur muss sich diese Person aber zuerst identifi- 
zieren. 

20 • Zertifizierungsinstanz (CA): Sie stellt die Schlusselzertifikate und 

Revocation Lists her. Diese werden anschiiessend zur Veroffentii- 
chung in ein Verzeichnis abgelegt oder direkt dem Benutzer zu- 
gesandt. 

• Schlusselgenerierungsdienst: Er generiert die Schlussel fur die 
25 Benutzer. Der private Schlussel wird auf einem sicheren Kanal 

dem Benutzer ubergeben, der offentliche Schlussel wird an die 
CA gesandt zwecks Zertifizierung. 
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• Schlusselpersonalisierungsdienst: Er legt die privaten Schlussel 
in einem Modul (z.B. einer Chipkarte) ab, urn sie vor unbefugtem 
Zugriff zu schutzen. 

• Schlusselhinterlegungsdienst (Key Escrow): Er speichert eine 
5 Kopie der verwendeten Schlussel (zwecks Ruckerstattung im 

Falle eines Verlusts oder zwecks ,,Abh6ren" der Polizei aus 
Staatsschutz- Oder Verbrechensbekampfungsgrunden). 

• Archivierungsdienst: Er archiviert die Schlusselzertifikate (zwecks 
langfristiger Garantie der Uberprufbarkeit von digitalen Signatu- 

10 ren). 

• Verzeichnisdienst: Er stellt den Benutzern Schlusselzertifikate 
und Revocation Lists zur Verfugung. 



• Notariatsdienste fur 

1 . Sende- und Empfangsbeweis 
15 2. Zeitstempel 

3. Beglaubigung der inhaltlichen Korrektheit (analog zu 
bestehenden Notariatsdiensten 

In den oben geschilderten Ablaufen steht haufig geschrieben „Der 
Empfanger uberpruft die Signatur* oder „Der Absender verschlusselt die Mel- 
20 dung". Naturlich muss der Benutzer all diese Funktionen im Normalfall nicht 
explizit selber ausfuhren, sondern das Mobilsystem 1,10 bzw. der Finanzser- 
ver 4 macht das fur ihn automatisch. 
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Anspruche 

1 . Transaktionsverfahren zwischen einem Kunden und einem fixen 
Point-of-Transaktions-Gerat (POT-Gerat) (2), wobei das Verfahren die Uber- 

5 mittlung von mindestens einer Kundenidentifizierung, einer POT-Geratidentifi- 
zierung (POSID) und transaktionsspezifischen Daten (A) an einen durch ein 
Telekommunikationsnetz (5) mit dem benannten POT-Gerat (2) verbundenen 
Server (4) umfasst, 

dadurch gekennzeichnet, dass die POT-Geratidentifizierung 
10 (POSID) im POT-Gerat (2) gelesen Oder erfasst wird und durch das genannte 
Telekommunikationsnetz (5) an den Server (4) ubermittelt wird, 

dass der Kunde mit einem tragbaren Identifizierungselement (10) 
ausgerustet ist, das mindestens einen Prozessor (100, 101) enthalt und funk- 
tionell mit einem Mobilgerat (1 ; 24) kooperieren kann, urn Kurzmeldungen 
15 durch ein Mobilfunknetz (6) zu senden und/oder zu empfangen, 

und dass die Kundenidentifizierung (IDUI) im Speicher des Identifi- 
zierungselementes (10) gespeichert ist und uber mindestens eine kontaktlose 
Schnittstelle (101-20 ; 6) an den Server (4) ubermittelt wird. 

2. Transaktionsverfahren gemass Anspruch 1 , dadurch gekenn- 

20 zeichnet, dass die Kundenidentifizierung (IDUI) und/oder die POT-Geratidenti- 
fizierung (POSID) uber eine kontaktlose Schnittstelle (101-20) zuerst zwischen 
dem Identifizierungselement (1, 10) und dem POT-Gerat (2) ubermittelt und 
dann zusammen mit transaktionsspezifischen Daten (A) in einem elektroni- 
schen Transaktionsbeleg verknupft werden, der durch das genannte Telekom- 

25 munikationsnetz (5) an den benannten Server (4) ubermittelt wird. 

3. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass das Identifizierungselement (10) eine SIM-Karte 
ist. 
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4. Transaktionsverfahren gemass clem Anspruch 2, dadurch gekenn- 
zeichnet, dass das Identifizierungselement ein Transponder (10') ist, 

und dass das Mobilgerat (24) im POT-Gerat (2) enthalten ist. 

5. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Kundenidentifizierung (IDU!) im Transpon- 
der (10') gelesen wird, durch die benannte kontaktlose Schnittstetle (101-20) 
an das POT-Gerat (2") ubertragen wird, und im POT-Gerat mit einer POT-Ge- 
ratidentifizierung (POSID) und mit den benannten transaktionspezifischen Da- 
ten (A) in dem an den benannten Server (4) ubermittelten Transaktionsbeleg 

10 verknupft wird. 

6. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass das Identifizierungselement (10, 10') 
uber eine integrierte Spule mit dem POT-Gerat (2) kommuniziert. 

7. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 

15 zeichnet, dass die SIM-Karte (10) mit Hilfe einer im Mobilgerat (1) integrierten 
Spule mit dem POT-Gerat (2) kommuniziert. 

8. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 
zeichnet, dass die SIM-Karte (10) mit Hilfe eines im Mobilgerat (1) integrierten 
infraroten Sender-Empfanger mit dem POT-Gerat (2) kommuniziert. 

20 9. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass mindestens gewisse Daten, die uber 
die benannte kontaktlose Schnittstelle (101-20) zwischen dem POT-Gerat (2) 
und dem Identifizierungselement (10, 10') ubertragen werden, verschlusselt 
werden. 

25 1 0. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die durch ; das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege verschlusselt werden. 
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11. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass die durch das benannte Telekommunikations- 
netz (5) ubertragenen Transaktionsbelege wahrend der Ubertragung nicht ent- 
schlusselt werden. 

5 12. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 

dadurch gekennzeichnet, dass die Transaktionsbelege (90) mit einem symme- 
trischen Algorithmus verschlusselt werden, wobei der symmetrische Algo- 
rithmus einen mit einem asymmetrischen Algorithmus verschlusselten Session 
Key (83) benutzt. 

10 13. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege zertifiziert werden. 

14. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 

15 kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachpruf- 
bare elektronische Signatur des Identifizierungselements (10) enthalten. 

15. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachpruf- 

20 bare elektronische .Signatur des POT-Gerats (10) enthalten. 

16. Transaktionsverfahren gemass einem der Anspruche 10 bis 15, 
gekennzeichnet durch folgende Schritte : 

Herstellung des Hashwertes (93) von den Transaktionsbelegen (90), 

Chiffrierung dieses Hashwerts (93) mit einem auf dem Identifizie- 
25 rungselement (10) gespeicherten privaten Schlussel (91 ), 

Signierung der Transaktionsbelege (90) mit dem chiffrierten 
Hashwert (92). 
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17. Transaktionsverfahren gemass einem der Anspruche 2 bis 16, 
dadurch gekennzeichnet, dass die Transaktionsbelege uber eine Clearingein- 
heit (3) an den Server (4) ubermittelt werden. 

18. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Datenelemente (IDUI), die fur das Clearing 

in der benannten Clearingeinheit (3) benotigt werden, nicht verschlusselt wer- 
den, so dass die Clearingeinheit die Transaktionsbelege nicht entschlusseln 
muss. 

19. Transaktionsverfahren gemass einem der vorhergehenden An- 
10 spruche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten (A) 

im POT-Gerat (2) gelesen Oder erfasst werden. 

20. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, die transaktionsspezifischen Daten (A) im 
Mobilgerat (1 ) gelesen Oder erfasst werden. 

15 21 . Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass der Server (4) eine Kundenschwarzli- 
ste speichert, und dass das Verfahren unterbrochen wird, wenn die empfan- 
gene Kundenidentifizierung (IDUI) in der Kundenschwarzliste enthalten ist. 

22. Transaktionsverfahren gemass einem der vorhergehenden An- 
20 spruche, dadurch gekennzeichnet, dass der Server (4) eine POT-Schwarzliste 

speichert, und dass das Verfahren unterbrochen wird, wenn die empfangene 
POT-Geratidentifizierung (POSID) in der Kundenschwarzliste enthalten ist. 

23. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass das POT-Gerat (2) eine vom Server 

25 (4) aktualisierte Kundenschwarzliste speichert, und dass das Verfahren unter- 
brochen wird, wenn die Kundenidentifizierung (IDUI) in der Kundenschwarzliste 
enthalten ist. 
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24. Transaktionsverfahren gemass einem der Anspruche 21 bis 23, 
dadurch gekennzeichnet, dass das Identifizierungselement mindestens teil- 
weise gesperrt wird, wenn die Kundenidentifizierung in einer Kundenschwarz- 
liste im POT-Gerat und/oder im Server (4) enthalten ist. 

5 25. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass das Identifizierungselement (10) ein 
Stack mit Daten uber bereits durchgefuhrte Transaktionen enthalt, 

und dass diese Daten vom Server (4) abgerufen werden konnen. 

26. Transaktionsverfahren gemass einem der vorhergehenden An- 
10 spruche, dadurch gekennzeichnet, dass die transaktionspezifischen Daten ei- 

nen Geldbetrag (A) enthalten, dass der Server (4) von einem Finanzinstitut 
verwaltet wird, und dass ein auf dem Identifizierungselement (10) gespeicherter 
Geldbetrag wahrend der Transaktion abgebucht wird. 

27. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
15 dadurch gekennzeichnet, dass der auf dem Identifizierungselement (1 0) ge- 

speicherte Geldbetrag (A) uber das genannte Mobilfunknetz (6) mit Nachlade- 
belegen aus dem Server (4) nachgeladen werden kann. 

28. Transaktionsverfahren gemass Anspruch 26, dadurch gekenn- 
zeichnet, dass der Geldbetrag (A) in einer Standardwahrung angegeben wird. 

20 29. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten 
aus dem POT-Gerat (2) an den Server (4) uber eine andere kontaktlose 
Schnittstelle ubermittelt werden, als die transaktionsspezifischen Daten aus 
dem Mobilsystem (10). 

25 30. Transaktionsverfahren gemass einem der Anspruche 4 bis 29, 

dadurch gekennzeichnet, dass mindestens gewisse Daten aus dem Server (4) 
durch ein Mobilfunknetz (6) an das Mobilgeratteil (24) des POT-Gerates (2") 
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Qbertragen werden und von diesem in den Transponder (10") weitergeleitet 
werden. 

31. Mobilsystem (1,10 ; 10'), das fur das Transaktionsverfahren ge- 
mass einem der vorhergehenden Anspruche in Anwendung gebracht werden 
5 kann, enthaltend : 

- mindestens einen Prozessor (100, 101) mit einem Speicherbereich, 
in welchem eine Kundenidentifizierung (IDUI) gespeichert ist, 

- elektronische Empfangsmittel, urn uber ein Mobilfunknetz (6) uber- 
tragene spezielle Kurzmeldungen zu empfangen, 

10 - elektronische Signierungsmittel, um Transaktionsbelege, die min- 

destens die Kundenidentifizierung (IDUI) enthalten, mit einer elektronischen 
Signatur zu versehen, 

- eine kontaktlose Schnittstelle (101), um die signierten Trans- 
aktionsbelege an ein POT-Gerat (2) weiterzuleiten. 

15 32. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 

gekennzeichnet, dass die genannten Signierungsmittel folgende Elemente 
umfassen : 

- ein in dem genannten Speicher gespeicherter privater Schlussel 

(91), 

20 - Mittel, um aus einem unverschlusselten Transaktionsbeleg (90) ei- 

nen Hashwert (93) herzustellen, 

- Mittel, um den Hashwert (93) mit dem genannten privaten Schlus- 
sel (91) zu chiffrieren und um den Transaktionsbeleg mit dem chiffrierten 
Hashwert (92) zu signieren, 
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33. Mobilsystem gemass einem der Anspruche 31 Oder 32, dadurch 
gekennzeichnet, dass die elektronischen Empfangsmittel ein Mobilgerat (1) 
und eine SIM-Karte (10) umfassen. 



34. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 
5 gekennzeichnet, dass die kontaktlose Schnittstelle einen infraroten und/oder 
induktiven Sender-Empfanger im Mobilgerat (1 ) umfasst. 



35. Mobilsystem gemass einem der Anspruche 31 oder 32, dadurch 
gekennzeichnet, dass es aus einem Transponder (10') besteht, und dass die 
kontaktlose Schnittstelle einen induktiven Sender-Empfanger umfasst. 

10 36. Mobilsystem gemass einem der Anspruche 33 bis 35, dadurch 

gekennzeichnet, dass die SIM-Karte (10) eine Wertkarte ist. 

37. Clearingseinheit (3), dadurch gekennzeichnet, dass es Trans- 
aktionsbelege von einer Region empfangt, in Abhangigkeit von einer enthalte- 
nen Kundenidentifizierung (IDUI) nach dem entsprechenden Finanzinstitut (4) 
15 zuordnet und diesem Finanzinstitut weiterleitet. 
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